江民今日提醒您注意:在今天的病毒中Worm/AutoRun.lrl“U盘寄生虫”变种lrl和Backdoor/Emogen.ew“恶魔棍”变种ew值得关注。
英文名称:Worm/AutoRun.lrl
中文名称:“U盘寄生虫”变种lrl
病毒长度:24064字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:901a96bdda1a858ac92e0a04e46ea197
特征描述:
Worm/AutoRun.lrl“U盘寄生虫”变种lrl是“U盘寄生虫”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“U盘寄生虫”变种lrl运行后,会在“%SystemRoot%system32”文件夹下释放经过加壳保护的恶意DLL组件“*.dll”(文件名从netsvcs服务组中依次获取,一般从“6to4”开始),另外还会在临时文件夹下释放恶意驱动程序“SvcMain.sys”,用以结束各类安全软件的自我保护。利用注册表映像文件劫持,干扰各类安全软件的正常启动运行,从而降低了被感染系统的安全性。“U盘寄生虫”变种lrl释放的DLL文件在运行后,会连接骇客指定的URL“http://www.dy20*4.com/msn/mm.txt”,从而进行下载其它恶意程序以及在被感染计算机上访问指定挂马页面的行为,给用户造成了更大的损失。“U盘寄生虫”变种lrl可通过移动存储设备及网上邻居进行传播。其会自我复制为“[盘符];recycle.{645FF040-5081-101B-9F08-00AA002F954E}Ghost.exe”,并生成“autorun.inf”文件,从而利用系统的自动播放功能激活自我。尝试连接存在弱口令的局域网内电脑,一旦连接成功,便会将自身复制到其“C:”根目录下,重新命名为“bootfont.exe”,并利用计划任务功能将其激活。“U盘寄生虫”变种lrl还会对部分扩展名为“.exe”、“.asp”、“.htm”、“.html”、“.aspx”及“.RAR”的文件进行感染,从而给用户造成更多的隐患。另外,“U盘寄生虫”变种lrl会在被感染计算机中注册系统服务,以此实现其开机自动运行。
英文名称:Backdoor/Emogen.ew
中文名称:“恶魔棍”变种ew
病毒长度:369899字节
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:35a156f5f6265ef112f6ca28e6c923af
特征描述:
Backdoor/Emogen.ew“恶魔棍”变种ew是“恶魔棍”后门家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“恶魔棍”变种ew运行后,会在被感染系统的“%SystemRoot%system32”文件夹下释放经过加壳保护的恶意DLL组件“user2.dll”,同时修改文件的时间属性,以此迷惑用户。同时会将原病毒文件删除,以此消除痕迹。“恶魔棍”变种ew释放的DLL文件在运行后,会不断尝试与控制端(地址为:niaoniaokk.33*.org:1987)进行连接。一旦连接成功,则被感染的计算机便会沦为傀儡主机,从而接受骇客的任何控制、操作,严重地侵害了用户的个人隐私。同时,骇客还可以向傀儡主机上传大量的恶意程序,从而构成更加严重的威胁。另外,“恶魔棍”变种ew会修改系统服务“BITS”(后台智能传输服务)所调用的文件指向,从而实现了开机自启。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描,有效清除“壳病毒”。
4、开启江民杀毒软件的系统监控功能,该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理,有效地遏制了未知病毒对系统所造成的干扰和破坏,更大程度的提高了计算机对于未知病毒的防范能力。
5、江民防马墙,能够第一时间发现和阻止带有木马病毒的恶意网页,可以自动搜集恶意网址并加入特征库,阻止了网页木马的传播,有效地保障了用户的上网安全。
6、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
7、江民杀毒软件新增强大的启发式扫描,能够启发扫描90%以上的未知病毒。
8、尽量不要以双击盘符的方式访问硬盘或移动存储设备的分区,而是通过资源管理器中左侧的“树形目录”或在地址栏中输入盘符的方式进行访问,从而避免计算机病毒利用系统自动运行特性进行感染和传播。
9、江民针对感染Delphi编译环境和应用程序的“Delphi侵蚀者”病毒推出了专杀工具,请广大Delphi开发人员和网民立即下载并对系统进行扫描,从而避免成为病毒传播的源头以及被该病毒所感染。下载地址:http://filedown.jiangmin.com/download/JMInducKiller.exe
10、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://online.jiangmin.com/
网友评论