“黑客连接工具798720”(Win32.HackTool.ToolBarT.dr.798720),这是一个黑客工具。它的行为主要是将用户电脑连接到黑客服务器,以便黑客进行入侵行为。
“扫帚广告机103488”(Win32.Adware.Virtumonde.dc.103488),这是一个广告木马。它属于某木马家族的成员,会在用户桌面上随机弹出一些网站的窗口,为这些网站刷流量,以提高它们的知名度。
一、“黑客连接工具798720”(Win32.HackTool.ToolBarT.dr.798720) 威胁级别:★
此毒对系统本身没有破坏作用,但它能在后台秘密连接远程服务器,进行加密通讯。这是很典型的远程木马行为。
当修改注册表,实现开机自启动后,该毒就在后台启动IE浏览器的进程,连接到病毒作者指定的多个远程服务器,进行通讯,并等待黑客的下一步指令。
为保证运行正常,该毒还会建立互斥体,避免自己其它副本进入电脑造成重复运行,因为重复运行有可能会造成系统崩溃,反而打乱黑客的入侵计划。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hacktool-toolbart-dr-798720-52105.html
二、“扫帚广告机103488”(Win32.Adware.Virtumonde.dc.103488) 威胁级别:★
此广告木马能利用AUTO技术进行传播,因此感染速度较快。
它在进入系统后,除常规地修改注册表,实现开机自启动外,还会搜索磁盘分区,在C盘之外的分区中建立一个AUTO文件Logo1_.exe,只要用户在中毒电脑上使用U盘等移动存储设备,该毒就会将其感染。
在成功运行起来后,该毒会随机弹出一些广告网站的窗口,这些网站制作简陋,很明显它们的所有者不指望靠广告来赚钱,这种行为只是为了为其刷流量,以提高它们在搜索引擎中的排名,让更多人容易搜索到它们。当访问人数够多时,病毒作者就会在上面挂上木马,进行真正的传播。
病毒中文名的由来,是因为该毒在运行结束后,会“扫除”自己的原始文件,防止样本被用户发现。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-adware-virtumonde-dc-103488-52104.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年10月31日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
网友评论