病毒安全资讯提醒:警惕流氓主页木马

互联网 | 编辑: 吴炜祺 2009-12-26 00:00:00转载 返回原文

病毒安全提醒小贴士

病毒安全资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,华军总结了几家病毒软件发布的最新病毒播报,希望大家加强防范,注意安全。

在本期的病毒播报中,文件夹模仿病毒、脚本下载器、浏览器首页篡改木马、网游盗号木马、后门和蠕虫病毒都比较活跃,网友们需要注意防范此类木马病毒,保护好自己的帐号信息和隐私数据。首先我们来看一下本期病毒播报中相关病毒木马的简介:

“文件夹模仿者”:这是一个通过U盘传播的广告程序,它会将自己伪装成U盘中的文件夹,欺骗用户点击。一旦运行就会感染电脑其他磁盘中的文件夹,并弹出广告页面。

“脚本下载器148”:此毒为一款比较古老的脚本下载器。它能利用多款系统安全漏洞制造溢出事件,一旦成功,就会在所处电脑上下载大量其它木马。给用户造成损失。

流氓主页木马:会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。

“危鬼”变种axa:这是一个专门盗取“地下城与勇士 Online”网络游戏会员账号的木马程序,利用消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息,给游戏玩家造成了不同程度的损失。

“IRC波”变种hyp:该后门会下载恶意程序、窃取FTP文件、扫描指定IP及端口、发动DDos攻击、键盘记录、屏幕截图、进程管理、文件共享、邮件传播等操作,会对用户造成严重的损害。

“暴风”蠕虫:该蠕虫运行后,会感染所有分区根目录,删除免疫文件夹,并创建目录快捷方式并隐藏原目录,还会自动查找和关闭计算机上的常见杀毒软件以及系统工具进程(如注册表编辑器等)。这些安全软件被关闭后,计算机就处于非常危险的状态,任何病毒的入侵都会造成非常严重的损失。

在简要介绍相关病毒木马的信息后,接下来我们整理了几大安全软件厂商发布的病毒播报,以下是具体内容:

金山:

“文件夹模仿者”(Win32.Troj.FakeFolderT.yl.1407388),这是一个通过U盘传播的广告程序,它会将自己伪装成U盘中的文件夹,欺骗用户点击。一旦运行就会感染电脑其他磁盘中的文件夹,并弹出广告页面。

“脚本下载器148”(js.Downloader.is.148),此毒为一款比较古老的脚本下载器。它能利用多款系统安全漏洞制造溢出事件,一旦成功,就会在所处电脑上下载大量其它木马。给用户造成损失。

一、

病毒英文名:Win32.Troj.FakeFolderT.yl.1407388

病毒中文名:文件夹模仿者

日均感染电脑量:275090

威胁级别:★★★

入侵方式:U盘传播

Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)及其变种Win32.Troj.FakeFolderT.yo.1406378会将用户系统中的文件夹图标隐藏起来,并生成采用文件夹图标的同名病毒文件,用户必须点击病毒文件才可进入文件夹。这使得病毒得以绕过系统或安全软件的U盘监控功能。而一旦被激活,它就会弹出大量的广告网页。

要是直接删除病毒,可能会造成那些被隐藏的文件找不回来。不过,只要使用金山U盘专杀,即可修复。

警惕常见流氓木马

二、

病毒英文名:js.Downloader.is.148

病毒中文名:脚本下载器148

日均感染电脑量:336590

威胁级别:★★

入侵方式:网马下载

“脚本下载器148”(js.Downloader.is.148)的感染量进一步增长,突破了33万台次。它主要是利用系统漏洞来制造溢出事件,然后下载别的木马,它包含有多款流行漏洞的利用代码,存在这些漏洞的电脑访问了被挂有

该毒的网站,就会中招。

然后“脚本下载器148”(js.Downloader.is.148)会下载更多的其它下载器。如此循环,没多久用户电脑里就会塞满各种各样的病毒木马。

如果电脑中频繁提示出现此毒,用户可先利用清理专家的垃圾清理功能,清空一下系统缓存。如果无效,可使用免费的金山急救箱对系统进行彻底清洗。

瑞星:

瑞星:“好听音乐网”、“37度医学网”等网站被挂马

当日安全综述:

据瑞星“云安全”系统统计,12月23日,共有1,535,030人次的网民遭到网页挂马攻击,瑞星共截获了279,339个挂马网址。

当日被挂马网站Top5:

1、“好听音乐网”: www.haoting.com/htmusic/23430ht.htm

被嵌入的恶意网址为***.org/web/4/index.html。

2、“37度医学网”:

www.37c.com.cn/community/new_doconline1/doconline0205.asp?blID=11301

被嵌入的恶意网址为***. la/4/ec1.htm。

3、“OK访”:bbs.okfang.com/UpFile/php.asp?10992.html,

被嵌入的恶意网址为***. cn/db。

4、“武汉热线”:game.wuhan.net.cn/game/html/cheat/pcgame/20090503/27892_2.html,

被嵌入的恶意网址为***.cn/image/my/yx/data.htm?2。

5、“中国工控网”:gx.gongkong.com/caa/home/newsdetail.asp?news_id=111,

被嵌入的恶意网址为***.la/4/cqqmp.htm。

挂马网站详情请点击:http://bbs.ikaka.com/showforum.aspx?forumid=20039

当日最流行木马病毒:

Trojan.Win32.Startpage.nsi(流氓主页木马)“云安全”系统共收到37249次用户上报。病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。由于没有直接修改注册表,所以可以逃避大多数杀毒软件的监控。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

江民:

江民今日提醒您注意:在今天的病毒中Trojan/Vilsel.axa“危鬼”变种axa和Backdoor/IRCBot.hyp“IRC波”变种hyp值得关注。

英文名称:Trojan/Vilsel.axa

中文名称:“危鬼”变种axa

病毒长度:13575字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:1f71f70789c0a09f57851f4b9f624451

特征描述:

Trojan/Vilsel.axa“危鬼”变种axa是“危鬼”家族中的最新成员之一,经过加壳保护处理。“危鬼”变种axa运行后,会自我复制到被感染系统的“%SystemRoot%system32”文件夹下,重新命名为“kb*.dll”。还会生成“wsconfig.db”保存该DLL文件名,并且在“%SystemRoot%system32drivers”文件夹下释放记录收信地址的配置文件“MSnoipds.dat”。“危鬼”变种axa会篡改系统文件“imm32.dll”,并通过正常程序对被感染的“imm32.dll”的调用实现恶意文件的运行。上述安装完成后,原病毒程序会将自我删除,以此消除痕迹。“危鬼”变种axa是一个专门盗取“地下城与勇士 Online”网络游戏会员账号的木马程序,其会插入游戏进程“dnfchina.exe”或“dnf.exe”中,利用消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息,并在后台将窃得的机密信息发送到骇客指定的收信页面“http://aiyo.bai*du66.cn:8881/semi-sweet/linux.asp”等上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。

英文名称:Backdoor/IRCBot.hyp

中文名称:“IRC波”变种hyp

病毒长度:130048字节

病毒类型:后门

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:2e775c7fab9899639b0a7fca1c32e082

特征描述:

Backdoor/IRCBot.hyp“IRC波”变种hyp是“IRC波”家族中的最新成员之一。“IRC波”变种hyp运行后,会自我复制到被感染系统的“%SystemRoot%system32”文件夹下,重新命名为“spupdsvc32.exe”,文件属性设置为“系统、隐藏、只读”。“IRC波”变种hyp利用IRC协议(互联网中继聊天)进行通讯,具有远程控制功能。其会与IRC服务器“doublelunch.is-a-chef.net:443”或“myvacations.sytes.net:443”建立连接,并根据服务器传送的指令,实现各种功能的控制操作,其中包括下载恶意程序、窃取FTP文件、扫描指定IP及端口、发动DDos攻击、键盘记录、屏幕截图、进程管理、文件共享、邮件传播等操作,会对用户造成严重的损害。“IRC波”变种hyp还会关闭被感染系统的错误报告服务,并在多个注册表启动项位置添加键值“Update RunOnce Service”,以此实现开机自动运行。

卡巴斯基:

卡巴斯基提醒:谨防“暴风”蠕虫的恶作剧

说到恶作剧软件,广大计算机用户似乎觉得不以为然,因为这种软件不会造成大的损失。但卡巴斯基实验室近期却截获到一种危害性很强的恶作剧软件,名为“暴风”蠕虫。这种恶意程序本身是一个加密的VBS脚本,功能十分强大。此蠕虫运行后,会感染所有分区根目录,删除免疫文件夹,并创建目录快捷方式并隐藏原目录。它还会创建autorun.inf进行交叉感染,修改注册表关闭隐藏文件显示,并修改文件类型关联程序。不仅如此,它还会自动查找和关闭计算机上的常见杀毒软件以及系统工具进程(如注册表编辑器等)。这些安全软件被关闭后,计算机就处于非常危险的状态,任何病毒的入侵都会造成非常严重的损失。此外,“暴风”蠕虫还会在系统目录下创建BFAlert.hta告知用户病毒的存在,并定时弹出和收回光驱托盘等。

目前,卡巴斯基已可以成功查杀该蠕虫,我们建议您尽快更新病毒库进行查杀以避免不必要的损失。

以上是我们给大家带来病毒播报,希望对大家有帮助。

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑