机器狗病毒再生新变种,感染用户急聚增长。最新版本的机器狗病毒,在入侵成功后,下载数十个其它木马病毒,并修改注册表使多款杀毒软件失效。
3月10日,金山毒霸全球反病毒监测中心发布周(3.10-3.16)病毒预警,机器狗病毒再生新变种,感染用户急聚增长。最新版本的机器狗病毒,在入侵成功后,下载数十个其它木马病毒,并修改注册表使多款杀毒软件失效。当前页面含有杀毒、专杀、机器狗字样时,窗口会被关闭,普通用户可能不得不重装系统。
金山毒霸反病毒专家李铁军表示,病毒进入系统后,以极快的速度修改系统注册表,对大量的杀毒软件和安全辅助软件实施印象劫持,造成它们失效。对于那些不需经过注册表就能使用的绿色安全产品,病毒也采取监视系统进程的方式来阻止其运行。由于病毒的“黑名单”极为庞大,几乎目前所有的杀毒软件及安全辅助软件都会“牺牲”。
李铁军分析指出,病毒顺利潜入用户系统后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%system32目录下的winsrv32.dll,以及%WINDOWS%system32\drivers目录下的ati32srv.sys。其中的ati32srv.sys特别值得注意,因为病毒会将它的相关数据写入注册表,恢复系统的SSDT表,这样就可能导致杀毒软件的“主动防御”和“自我保护”功能失效。完成以上步骤后,病毒悄然连接多个由木马种植者指定的网址,获取最新的病毒下载列表,然后根据列表上的地址去下载大量其它木马至用户计算机运行,引发更多无法估计的系统安全问题。
据了解,本周内广大电脑用户除了需要警惕“机器狗变种53248”之外,还需要特别警惕“AUTO地鼠器”(Win32.Troj.AutoRunT.up.151552)与“敏感资料盗窃者202792”(Win32.Troj.Hugedoor.a.202792 )两大病毒。前者病毒进入系统后,立即修改系统时间为2018年,使依赖依赖系统时间进行激活和升级的杀毒软件失效。然后开始疯狂的下载活动,从木马种植者指定的多个远程服务器下载海量其它病毒文件,如果使用金山清理专家扫描恶意软件可发现它下载的大部分病毒是盗号木马,其中包括最近名声非常恶劣的“机器狗”。随着进入电脑的木马越来越多,系统资源会被病毒严重占用,直至瘫痪。后者病毒运行后,在系统中展开全面监视程序,记录下用户使用outlook和foxmail所有发出邮件的时间、用户名、密码、邮件服务器等信息。并记录QQ、ICQ、MSN等即时通讯工具的帐号,密码。还记录用户使用IE浏览器时,输入的所有含TEXT和PASSWORD字样的内容,并将这些偷来的信息全部发送到木马种植者指定的地址。更令人发指的是,它甚至会在系统最近打开的文档中搜索doc、txt、pdf等格式的文件,将它们也上传给木马种植者。病毒还相当狡猾,它在上传赃物的过程中,如果嗅探到有网络监控进程,就会暂停上传工作,等2分钟后再次检测。这样一来,监控程序就不容易发现它了。
金山毒霸反病毒专家特别指出,“机器狗”针对还原系统进行穿透破解的木马多见于网吧等公共场所的电脑,用户操作公用电脑时需提高警惕。建议使用杀毒U盘或下载金山清理专家等支持绿色的安全辅助软件装在U盘里随身携带,以便在公用电脑上进行查杀。对付“机器狗”下载的盗号木马,可将游戏、网银、聊天帐号置于金山密保的保护下。同时开启杀毒软件的自动更新功能,保持对最新病毒的防御能力;开启防火墙,并且留意防火墙拦截提示,检查外挂程序的安全性;登录网游账号、网络银行账户时采用软键盘输入账号及密码。
根据本周病毒传播特点,金山毒霸反病毒应急中心及时升级了病毒库,并推出了最新机器狗专杀工具(http://www.duba.net/zhuansha/259.shtml)。用户升级毒霸到2008年3月10日的病毒库即可查以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。
网友评论