木马关闭“360安全卫士”疯狂下载病毒作恶
|
|
| 2007-11-27 15:18:24 |
“卫士杀手下载器”(Win32.TrojDownloader.Delf.a),这是一个会通过网络自动传播的下载者程序。它进入计算机系统后会结束安全软件360安全卫士进程,然后通过连接网络下载大量其他病毒木马,并打开后门供黑客连接。
“QQ盗号木马110771”(Win32.Troj.QQPassT.ah.110771),该木马会盗取用户的QQ号码,并会从网络下载大量病毒运行。
一、“卫士杀手下载器”(Win32.TrojDownloader.Delf.a) 威胁级别:★
这是一个木马下载者程序。启动成功后,它马上将系统文件夹的显示模式设置为不显示隐藏文件,避免用户发现它生成的文件。随后,创建批处理文件%systemroot%\tmipo.bat,关闭安全软件“360安全卫士”的进程。
关闭动作成功后,该病毒自动打开系统4444端口,等待木马制作者发出的指令。同时,在用户无法察觉的情况下,连接http://www*****93.com和http://61******.163两个地址,下载大量其他木马病毒,并在%systemroot%\config\AppEventw.cfg中保存下载信息,给用户造成无法估计的损失。
除了在受害计算机上进行破坏,病毒还会尝试使用IPC$连接网段内其他IP查找共享目录,假如搜索到用户名为Administrator,密码为:123456、password、1111、admin等各种弱口令的计算机,病毒就会把自己复制过去,扩大自己的传染范围。由于之前已经关闭了“360安全卫士”,用户将无法发现该病毒的整个作案过程。
二、“QQ盗号木马110771”(Win32.Troj.QQPassT.ah.110771) 威胁级别:★
这是一个QQ盗号木马。病毒运行成功后,会在C:\Program Files\Internet Explorer\PLUGINS\路径下生成SysWin78.Jmp和WinSys88.Sys两个文件。同时,病毒还在E盘根目录生成AUTO病毒,分别是AutoRun.exe和辅助文件AutoRun.inf。当用户左键双击进入该盘时,病毒随之触发。病毒发作早期有个明显症状,就资源治理器会自动弹出,指向路径为E:\。用户可通过这点判定电脑中了该病毒。
紧接着,病毒将之前生成的WinSys88.Sys文件添加到注册表,这样它便可以随桌面启动,并监视用户是否有打开QQ聊天软件,如发现,就会马上盗取QQ号和密码,发送到http://www.***k.com/3r543z/win.asp、http://do*****er888.cn/chery/default.asp、http://www.q****l.com/up.asp这几个地址。
除了盗取QQ号,病毒还会连接http://bt.eti*****8.com、http://www.a****a.com、http://www.n****t.cn这三个地址,下载更多的病毒,给用户造成更大的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),碰到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
|
|
|
|
新闻线索:
022-23620022
报料邮箱:
 |
|
|
