本周重点关注病毒
“暴力清洗下载器32768”(Win32.TrojDownloader.VB.32768) 威胁级别:★★
此下载器对系统的破坏性较高,因为它除了执行下载外,还会删除所处目录下所有的exe格式文件。
如果该毒进入C盘或D盘并运行起来,就会搜索并删除当前目录下的所有exe文件,同时遍历当前进程,关闭p2pnetworking.exe、p2pnetwork.exe、winlog.exe、csrrs.exe等进程。
随后,它从
http://homepage.nt****ld.com/nrclarky这个由病毒作者指定的地址下载两个文件dr.exe和install.exe,将它们存放到到当前目录并运行。这两个文件是同个病毒文件的不同副本,如果一个下载失败,就下载另外一个。经毒霸反病毒工程师检查,这是一个流氓软件。
当下载完成,该毒便创建脚本,删除自己的原始文件。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-trojdownloader-vb-32768-50938.html 此外值得关注病毒
“上兴木马变种1105920”(Win32.Hack.RWX.sw.1105920) 威胁级别:★★
该毒的母体进入用户系统后,在%Program Files%\Common Files\Microsoft Shared\MSInfo\目录和%WINDOWS%\systemr\目录下释放出病毒文件mstcs.exe,其中%WINDOWS%\systemr\目录下的mstcs.exe前面多了条下划线,成了_mstcs.exe 。
作为病毒的主文件,mstcs.exe会被写入注册表启动项,使病毒实现开机自启动。如果顺利起来,它就注入IEXPLORER.EXE和calc.exe,实现进程守护,当其中一个进程被终止时,另一个进程立刻重新启动被终止的进程,防止自身被删除。
它收集系统信息,发送到病毒作者指定的网站
http://www.9***e.com,黑客收到这些信息后,就能对用户系统进行各种想要的操作,比如文件上传下载、屏幕监控、视频(摄像头)监控、音频监控、键盘记录,系统监控,操纵中毒机器进行网络攻击等。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-hack-rwx-sw-1105920-51764.html “死循环恶作剧16384”(Win32.RiskWare.Shutdown.c.16384) 威胁级别:★★
该病毒对系统没有直接的破坏行为,但是它会造成用户的电脑不断的自动重启,让用户无法正常工作。该毒近来感染量有所上升,毒霸反病毒工程师猜测是有人在故意散播。
它进入用户系统后,就立即在当前目录下运行起来。它行为很简单,在获取两个未公开的函数、篡夺系统的操作权限后,就发出ShutdownReboot指令,让系统瞬间重启。在此过程中,用户完全来不及保存正在进行的任务。
而之后,它会不断的重启系统,让用户不能正常开展工作,由于频繁重启,甚至有可能引起电脑的硬件故障。综合它的行为来看,可以判定其为恶作剧程序,但很明显,病毒作者的这个玩笑开得有些过头。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-riskware-shutdown-c-16384-50939.html [ 此贴被雪林风在2008-09-16 12:17重新编辑 ]