金山毒霸每日病毒预警:
“网络红娘变种364544”(Win32.Hack.RedGirl.m.364544),这是远程控制木马“网络红娘”的变种。它为了逃避杀毒软件的查杀,插入了大量垃圾指令,同时,将图标伪装为常见的安装文件图标。病毒被激活后,还会先打开一张图片,再去执行病毒代码。
“脚本下载器4156”(JS.Agent.ds.4156),这是一个脚本下载器程序。它会连接到指定的地址,下载其它病毒到用户电脑中运行,同时还会上传用户电脑的系统数据。
一、“网络红娘变种364544”(Win32.Hack.RedGirl.m.364544) 威胁级别:★★
这个远程木马由来已久,但变种不断都有出现,而且新变种在对抗安全软件方面的能力,越来越强。
该毒在进入用户电脑后,是无法自动运行起来的,它必须由用户点击运行。为欺骗用户点击,它把自己伪装为一个安装文件图标,如果用户运行了它,它就弹出一张美女图片复制自身文件mywlhn.exe到系统盘%WINDOWS%\system32\目录中,并由该文件释放出另一个文件mywlhn.dat。
接着,它新建线程监视系统内金山毒霸、卡巴斯基、瑞星、微点等杀毒软件,入发现它们试图弹出警告窗口,就抢先模拟鼠标按键消息,点选放行选项,并将自己的病毒文件添加为“可信”。光是这样,病毒仍不放心,它下一步干脆直接关闭这些杀毒软件的进程。
在对付杀软的同时,病毒修改注册表实现自动启动,然后利用IE浏览器创建远程线程,加载之前生成的mywlhn.dat,用它来连接黑客指定的远程服务器,接收监控端命令,达到控制中毒电脑的目的。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-redgirl-m-364544-50798.html
“脚本下载器415”(JS.Agent.ds.4156) 威胁级别:★
这个下载器程序是个脚本文件,它能够很方便的利用网页挂马进行传播。
病毒进入用户电脑后的运行不复杂,它会在系统盘%WINDOWS%\TEMP\目录下释放出文件oka0999.tmp,然后就修改注册表中的安全模块,让系统无法发出异常警告。
接着,病毒就运行起来。它连接到病毒作者指定的远程地址,上传用户电脑的系统信息,比如IP地址、系统版本等。并下载其它的一些病毒文件到用户电脑里执行。
此外,该毒有防止重复运行的功能,每当它成功入侵一台电脑,就会创建一个互斥体,防止自己的其它副本在此台电脑中重复运行,引起崩溃。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/js-agent-ds-4156-50799.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年7月12的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。