“脚本下载器1379”(js.downloader.vw.1379),这是一个木马下载器。该毒利用网页挂马进行传播,当系统具有安全漏洞的电脑访问被挂马的网站时,就会中招。部分中了此毒的电脑,IE浏览器会出现乱码,影响用户上网。
“NS窥视器”(win32.troj.sysjunkt.hh),此毒为一款远程木马。它属于NS木马群的成员,能在用户系统中建立远程监控,帮助黑客窥视用户的敏感数据,甚至控制用户电脑。
一、
今日网络中最令人心烦的病毒,依然为JS脚本木马。在金山云安全系统最新的统计数据中,“脚本下载器1379”单日感染电脑数量达到9千多台,客服方面也收到不少用户关于该毒影响力的咨询。
这个JS脚本,主要的行为是下载其它的木马文件,毒霸反病毒工程师分析后发现,它下载的多为网游盗号木马,也有少量的间谍程序。当顺利偷到用户的网游帐号和收集到用户的使用习惯数据后,就会把这些赃物发送到病毒作者指定的一个远程接收地址中,供病毒制作团伙谋取暴利。
有少量测试电脑在感染该毒后,会随机出现浏览器乱码的现象,这是该毒利用系统安全漏洞制造溢出时所引起的连锁反应。只需运行毒霸的清理专家模块,清除临时目录中的垃圾文件,再执行浏览器修复,就可恢复正常。
该毒溢出后会被毒霸立即查杀,因此并不会对系统构成实质上的威胁。不过,如果电脑上出现该毒,用户就必须用清理专家扫描系统,该毒的出现说明您的系统肯定存在一些安全漏洞。
二、
对于一些黑客来说,彻底控制用户系统,可以实现犯罪利润的最大化。因为这不仅可以随心所欲的盗窃用户电脑中的数据,还能利用受害电脑来攻击其它电脑,以达到黑客不可告人的目的。
win32.troj.sysjunkt.hh这个远程木马,它采用网页挂马和捆绑其它程序的办法混进用户电脑,最新的保守感染量达到了每日8580台。
受到该毒入侵的电脑,会在临时目录中出现一个nsy8199.tmp文件,文件开头两个字母为NS,这是它从属的木马群成员的一个标志。
一旦进入用户电脑,它就修改注册表服务项,将自己冒充成系统进程,或采用随机命名的进程名,实现开机自启动。它在后台悄悄调用IE浏览器,连接到病毒作者指定的黑客服务器,只要完成连接,用户的电脑就会被黑客彻底控制。至于具体利用受害电脑来干什么,就由黑客决定了。
来自金山毒霸反病毒工程师的几点安全建议
1.安装专业的正版杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开,并一定要开启自动升级功能,遇到杀毒软件异常的问题,要尽快与其生产厂商联系求助。
2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大,只要你的系统中存在安全漏洞,病毒就可以找到突破防御的缝隙。因此,请尽可能使用正版软件,以获得及时的升级服务。
3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户,因此建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,这样才能切断病毒感染的途径,不给病毒以可乘之机。
4.警惕网络诈骗,切记“天上不可能掉馅饼”。杀毒软件可以为您拦截恶意程序的攻击,而至于基于社会工程学的诈骗,很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理,比如QQ中大奖、网站抽大奖等。
