變種
病毒名稱:Trojan/PSW.GamePass.bu
中 文 名:“網遊大盜”變種
病毒長度:可變
病毒類型:木馬
危害等級:★
影響平台:Win 9X/ME/NT/2000/XP/2003
描述:Trojan/PSW.GamePass.bu“網遊大盜”變種是一個利用網路共享進行傳播的木馬程式。“網遊大盜”變種運行後,在Windows目錄下創建病毒副本和一個木馬下載器。修改註冊表,實現開機自啟。將病毒檔案注入到IEXPLORE.EXE或EXPLORER.EXE的進程中,隱藏自我,防止被查殺。連線指定站點,偵聽黑客指令,下載並執行特定檔案,終止某些與安全相關的服務,降低被感染計算機上的安全設定。遍歷用戶計算機的C到Y驅動器,搜尋已分享檔案夾,一經發現便利用空用名和空密碼打開已分享檔案夾,並自我複製到已分享檔案夾下,感染該資料夾下所有.exe檔案,實現網路共享傳播。
代理變種sq
病毒名稱:Backdoor/Agent.sq
中 文 名:“代理”變種sq
病毒長度:可變
病毒類型:後門
危害等級:★
影響平台:Win 9X/ME/NT/2000/XP/2003
描述:Backdoor/Agent.sq“代理”變種sq是一個從黑客指定站點下載其它病毒的後門。“代理”變種sq運行後,自我複製到系統目錄下。偵聽黑客指令,開啟TCP 25連線埠,連線黑客指定站點,下載其它病毒,並在被感染計算機上自動運行。
危害
病毒運行後,在C糟program file以及windows目錄下生成winlogon.exe等14個病毒檔案,病毒檔案之多比較少見,事實上這14個不同檔案名稱的病毒檔案系同一種檔案,。病毒檔案名稱被模擬成正常的系統工具名稱,但是檔案擴展名變成了 .com。江民反病毒工程師分析,這是病毒利用了Windows作業系統執行.com檔案的優先權比EXE檔案高的特性,這樣,當用戶調用系統配置檔案Msconfig.exe的時候,一般習慣上輸入 Msconfig,而這是執行的並不是微軟的Msconfig.exe程式,而是病毒檔案 ,病毒作者的“良苦用心”由此可見。病毒另一狡詐之處還有,病毒還創建一名為winlogon.exe的進程,並把 winlogon.exe 的路徑指向c:\windows\winlogon.exe,而正常的系統進程路徑是C:\WINDOWS\system32\ winlogon.exe,以此達到迷惑用戶的目的。
江民反病毒工程師介紹,除了在C糟下生成很多病毒檔案外,病毒還修改註冊表檔案關聯,每當用戶點擊html檔案時,都會運行病毒。此外,病毒還在D糟下生成一個自動運行批處理檔案,這樣即使C糟目錄下的病毒檔案被清除,當用戶打開D糟時,病毒仍然被激活運行。這也是許多用戶反映病毒屢殺不絕的原因。
預防
針對“網遊大盜”病毒,江民防毒軟體KV系列產品已及時升級,用戶只需升級病毒庫到最新狀態、開啟病毒實時監控即可有效防殺該病毒,亦可使用江民未知病毒檢測功能處理該病毒。沒有安裝防毒軟體的用戶,也可以下載使用江民“落雪”木馬專殺工具進行防毒,以免遭“網遊大盜”病毒侵害。
解決方案: 1、請及時升級江民KV2006防毒軟體,開啟BOOTSCAN功能及各項監控,防止衝擊波、震盪波等惡性病毒攻擊用戶計算機。BOOTSCAN功能在Windows啟動前能徹底清除以上惡性病毒,全面保護用戶計算機。
2、江民KV網路版的用戶請及時升級控制中心,並建議相關管理人員在適當時候進行全網查殺病毒,保證企業信息安全。
3、“江民密保”可有效保護網上銀行、網路遊戲、支付平台、網上證券交易等賬號、密碼,徹底斬斷“網銀大盜”、“證券大盜”、“傳奇竊賊”、“天堂殺手”等專門盜號的木馬黑手,全面保護用戶機密信息。
4、在運行通過網路共享下載的軟體程式之前,建議先進行病毒查殺,以免導致中毒。
5、設定網路共享帳號及密碼時,儘量不要使用常見字元串,如guest、administrator等。密碼最好超過八位,儘量複雜化。
6、懷疑已中毒的用戶可使用江民免費線上查毒進行病毒查證。