病毒名称:W32.Rixobot
病毒类型:蠕虫
受影响的操作系统: Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003
病毒分析:
赛门铁克安全响应中心最近检测到一种新的蠕虫病毒--W32.Rixobot。该蠕虫会在受感染计算机中执行后门程序,通过该后门等待接收攻击者从IRC服务器发送来的命令。
运行后,W32.Rixobot会将自身拷贝到%SYSTEM%目录下,命名为msnwm.exe;同时,它会释放驱动文件kernelx86.sys 到%SYSTEM%drivers目录下(该驱动文件被检测为Hacktool.Rootkit)。该蠕虫还会修改注册表,使自己绕过Windows防火墙检测以及阻止多种安全工具和管理员工具的运行,并劫持系统输入法程序,令系统在加载输入法程序的同时将其加载运行。
W32.Rixobot主要通过移动磁盘、即时通讯程序和攻击计算机漏洞进行传播。当受感染计算机后门被打开后,该蠕虫会接收攻击者发来的以下命令:1) 通过即时通讯程序传播该蠕虫; 2) 通过移动媒介传播该蠕虫; 3) 通过扫描主机漏洞传播该蠕虫; 4)更新该蠕虫的版本。
诺顿安全专家建议:
1. 全新2010版诺顿安全软件独创的基于信誉评级的全球智能云防护,使用赛门铁克的全球安全智能网络,实时对来自互联网的应用程序进行判断,协助用户抵御最新威胁。
2. 诺顿安全软件的"通信监控技术",可以识别并阻截疑似包含蠕虫威胁的通信,阻止蠕虫借助电子邮件和即时通讯工具以及其他连接,入侵用户计算机。
3. 及时为应用软件和操作系统安装补丁程序,并将其更新至最新版本。
4. 使用移动存储设备前先对其进行安全扫描,确认安全后再打开。
5. 没有安装安全软件的用户可以访问http://www.symantec.com.cn/trialware 下载诺顿360(3.0版)、诺顿网络安全特警2010或诺顿防病毒2010试用版对病毒进行查杀。
6. 使用诺顿2006版本及之后产品的现有用户,可以免费将产品升级至诺顿2010版本,升级网址http://www.symantec.com.cn/nuc。
赛门铁克中国安全响应中心简介
赛门铁克中国安全响应中心于2008年2月成立于成都,与位于全球各地的安全响应中心共同协作,针对当前威胁和安全风险进行监控分析,主动识别并分析新型威胁,并作为中国互联网安全威胁现状的窗口,为本地以及全球用户提供更为强大的覆盖力度,从容应对新型威胁。赛门铁克中国安全响应中心博客为用户提供及时准确的病毒事件播报和分析,敬请参阅
网友评论