江民2月25日病毒播报:利用U盘、移动硬盘传播 小心文件魔头木马病毒
江民今日提醒您注意:在今天的病毒中Trojan/PSW.Nilage.byg“尼拉葛”变种byg和Trojan
/Mabezat.f“文件魔头”变种f值得关注。
病毒名称:Trojan/PSW.Nilage.byg
中 文 名:“尼拉葛”变种byg
病毒长度:48640字节
病毒类型:木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Nilage.byg“尼拉葛”变种byg是“尼拉葛”木马家族的最新成员之一,采用Delphi语言编写,并经过加壳处理。“尼拉葛”变种byg运行后,利用HOOK技术和内存截取技术在被感染计算机的后台盗取用户系统中网络游戏玩家的《天堂I》游戏帐号、游戏密码、身上装备、背包装备、角色等级、元宝数量、游戏区服、计算机名称等信息,并在后台将窃取到的这些玩家游戏帐号信息发送到骇客指定的远程服务器站点上,致使《天堂I》玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。修改注册表,实现木马开机自动运行。
病毒名称:Trojan/Mabezat.f
中 文 名:“文件魔头”变种f
病毒长度:154751字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Mabezat.f“文件魔头”变种f是“文件魔头”木马家族的最新成员之一,采用VC++ 6.0编写,并经过加壳保护处理。“文件魔头”变种f运行后,在被感染计算机上搜索有效邮箱地址,利用被感染计算机群发带毒邮件。邮件主题和正文内容随机生成,并带有诱惑性语句,诱导用户打开附件中的压缩文件。加密被感染计算机硬盘上扩展名为.txt、.doc、.rtf、.htm、.html、.asp、.cs、.aspx、.pdf、.ppt、.xls、.pas、.cpp、.hlp、.chm、.log、.php、.xml的文件。可能会利用局域网中的弱口令实现网络共享传播。在各个盘符的根目录下创建“autorun.inf”文件和木马主程序文件“zpharaoh.exe”,实现双击盘符启动“文件魔头”变种f运行的功能。另外,“文件魔头”变种f还能够利用U盘、移动硬盘等移动存储设备进行传播。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件的虚拟机脱壳技术,针对目前主流壳病毒进行虚拟脱壳处理,有效清除“壳病毒”。
4、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码,全面保护用户私密信息。
5、在打开通过局域网共享及共享软件下载的文件或软件程序之前,建议先进行病毒查杀,以免导致中毒。
6、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算机,完全保护计算机系统安全。
7、请不要随意打开邮件中给出的链接以及附件,尤其是来历不明的邮件,以免中毒。
8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://online.jiangmin.com/chadu.asp.
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站http://www.jiangmin.com进行在线查阅。
金山毒霸每日病毒预警
“eREAD弹弹看”(Win32.Hack.RPolyCrypt.a.36864),这是一个由AUTO病毒释放的病毒文件。它会使系统不断的弹广告和下载其他病毒文件。并出现会自动下载电影播放器的电子图书。没多久,在用户桌面上便会显示大量网页图标和与病毒文件相关的快捷方式及文件夹。总体来说,此病毒破坏性不强,但其行为却会令用户深感烦腻。
“AUTO木马389120”(Win32.Troj.Autorun.389120),这是AUTO病毒。它运行后,会将自己添加到系统启动项,随系统开机启动。启动后,创建单独的线程对系统进行扫描,如发现用户添加新磁盘(比如插入U盘等移动存储设备),就会把自己复制到新磁盘上,扩大传播范围。
一、“eREAD弹弹看”(Win32.Hack.RPolyCrypt.a.36864) 威胁级别:★★
病毒进入系统后,将病毒文件SVSH0ST.EXE释放到系统盘的%windows%\system32\目录下,并迅速运行起来,同时在%Program Files%\ppfilm\目录下还释放出另一个病毒文件jfCacheMgr.exe。此处值得注意的是,SVSH0ST.EXE与windows系统进程svshost.exe很像,具有一定的欺骗性,但字母均为大写。如用户发现自己系统中有字母为大写的svshost.exe,那很可能就是该病毒文件。
该病毒运行后,会自动打开一本电子图书,名为"eREAD"。很显然这只是病毒的掩护体。随着电子图书的打开,病毒会自动下载PPfilm.exe文件,这其实是一个电影播放器。接着,系统会时而弹出广告和网页,这是最明显的病毒症状。弹出的网页是无法修改大小的,而且页面内容走位、无法调整,随后自动关闭。
这时,如果用户查看IE浏览器,会发现自己的默认主页已被病毒修改为“http://www.j**an.com/movies/1/pa**list/0/n**update/1.shtm”,相关内容是免费电影点播。很明显,此病毒的性质是属于流氓广告了。
当用户再回到桌面时,会发现在桌面多了许多网页图标、文件夹以及某些软件的快捷方式,这些是病毒自动生成的。只要病毒存在系统越久,生成图标就会越多、弹网页的频率也越高。
二、“AUTO木马389120”(Win32.Troj.Autorun.389120) 威胁级别:★
病毒进入用户电脑后,在系统盘的%windows%\system32\目录下释放出病毒文件dream.exe和plmmsbl.dll,并在全部的磁盘分区根目录下面均生成AUTO病毒文件autorun.inf、sbl.exe。只要用户双击鼠标左键进入含毒磁盘,病毒就会被激活,而如果在中毒电脑上使用U盘等移动存储设备,病毒也会将其感染。
接着,病毒修改系统注册表,把自己的相关数据添加到启动项,实现随系统开机启动。当成功启动后,它会利用之前生成的dream.exe进程创建单独的线程,对系统不断进行扫描,如发现用户添加新磁盘(比如插入U盘等移动存储设备),就会把自己复制到新磁盘上,扩大传播范围。
经分析,该毒没有明显破坏行为,但由于采取AUTO病毒自动传播和主文件不间断搜索的方式进行传染,此病毒感染移动存储器的机率较大,广大用户仍需对其提高警惕。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年2月24的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
瑞星02月25日反病毒及木马播报
据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它是:“线上游戏窃取者变种LT(Trojan.PSW.Win32.GamesOnline.lt)”病毒。该病毒通过网络传播,病毒盗取用户网络游戏的账号、密码等信息并发送到黑客指定网站,给玩家造成损失。
本日热门病毒:
“线上游戏窃取者变种LT(Trojan.PSW.Win32.GamesOnline.lt)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个木马病毒。病毒运行后会在系统目录中建立病毒文件,并且将自身加载到系统正常进程中,给用户手工查杀病毒带来困难。同时病毒修改注册表信息使之可以随系统自启动。病毒在后台监视用户键盘、鼠标操作,盗窃网络游戏的账号和密码,并发送到黑客指定的网站,使玩家蒙受损失。
反病毒专家建议电脑用户采取以下措施预防该病毒:1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次;2、使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞;3、不浏览不良网站,不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“瑞星账号保险柜”中,可以有效保护密码安全;7、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡5.0,打开防护中心开启全部防护,防止病毒通过IE漏洞等侵入计算机。
如遇病毒,请拨打反病毒急救电话:82678800。能够上网的用户可以访问瑞星反病毒资讯网:http://www.rising.com.cn或登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。 |
