“西伯利亚渔夫”(Win32.Troj.Agent.ib.69632),这是一个专门劫持浏览器的木马。它通过修改用户的DNS设置,使用户在浏览正常网站时,被指引到病毒作者指定的钓鱼网站。病毒作者还采用一系列复杂的加密手法,试图干扰安全软件的正常查杀。
“坏男孩木马440468”(Win32.WhBoy.f.440468),这是一个远程控制木马。它能穿透系统还原软件的保护,在用户电脑中建立后门,等待黑客入侵。
一、“西伯利亚渔夫”(Win32.Troj.Agent.ib.69632) 威胁级别:★★
一个为钓鱼网站量身打造的病毒,近日被毒霸反病毒工程师捕获,该毒对用户具有非常大的威胁,它会修改系统DNS地址、监视多个与网络浏览器有关的函数,只要发现用户启动浏览器,就将用户引导到病毒作者精心制作的钓鱼网站,进行各种诈骗活动。
毒霸反病毒工程师跟踪该毒多个变种中包含的服务器地址后发现,此毒所指向的域名解析服务器主要位于俄罗斯、白俄罗斯、乌克兰等地区,不过,这并不代表此毒就一定是这些地区黑客的作品,因为黑客们通常都是在全球各地租用服务器作案的。
毒霸反病毒工程师认为,这是一个非常危险的行为,比如,通过修改DNS,黑客可以在不修改网站域名的情况下,把使用网上银行的用户直接引导到高仿真的钓鱼网站,轻松套取帐号密码信息。因为从地址到界面,所有的信息和正常网站都一样,即便是拥有丰富网络安全知识的资深用户,如果事前不知道,一样会中招上当。
同时,此毒还具有后门木马的功能,它会连接到一台位于美国加州的服务器64.28.1*8.2*1,收发黑客指令,帮助黑客窃取任何有价值的信息,或者是控制电脑。
需要提及的是,这个病毒具有一定程度的对抗能力,它运行后首先会检查系统中是否存在进程ieuser.exe,这是Vista系统中与浏览器安全有关的一个进程,如果发现该进程,病毒就会将其强行关闭。而且由于它在系统一些关键的文件中会留有“分身”,无论用户怎样删除它,电脑刷新后就又会出现。
毒霸可以彻底清除该毒,已经安装毒霸的用户不必担心。如果您已安装其它杀毒软件,不便卸载,也可以使用金山免费提供的修复工具“金山系统急救箱”来进行检查和修复。
“金山系统急救箱”下载地址 http://bbs.duba.net/thread-21988813-1-1.html
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-ib-69632-52530.html
二、“坏男孩木马440468”(Win32.WhBoy.f.440468) 威胁级别:★
该毒的危害主要是在用户电脑里建立远程连接,等待黑客入侵。
病毒的母体suchost.exe会被释放到%WINDOWS%SYSTEM32drivers目录中。它将自己的文件写入系统注册表启动项,实现开机自启动,并利用自带的驱动文件go.sys恢复系统SSDT表,突破系统还原软件的防御。然后执行%WINDOWS%目录下的病毒主文件RMking.exe.exe,制造后门,建立远程连接。
该毒具有自删除的功能,当后门建立后,就删除自己的母体,避免被用户发现。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-whboy-f-440468-52538.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
网友评论