“强行加载者131072”(win32.troj.agent.131072),这是一个监控木马。该毒能收集用户系统的信息和帮助黑客控制用户电脑。它会利用系统进程强行加载自己的文件,使得用户无法利用任务管理器来关闭它,以保证自己能顺利作案。
“网马下载器1023”(js.downloader.p.1023),这是一个网页木马。该毒是一个恶意的JS脚本文件,病毒作者将它挂在网页上,守候具有安全漏洞的电脑,一旦发现就自动入侵。如果入侵成功,就会下载大量盗号木马和广告木马。
一、
绝不会有哪个电脑用户喜欢病毒呆在电脑里搞破坏,这些东西不是破坏系统就是盗窃数据,还会带来许多麻烦。但对病毒作者来说,病毒在用户系统中呆得越久,给他们谋取的暴利才能越多,因此,总得想各种办法让病毒能赖在电脑中。
利用系统进程加载病毒文件就是他们常用的办法,“强行加载者131072”(win32.troj.agent.131072)就是这么干的。从该毒行为上来看,它在用户电脑里执行的是监控任务,能收集用户电脑的硬件配置信息,将其发送给病毒作者指定的黑客服务器,然后根据黑客服务器返回的命令对受害电脑进行各种黑客想要的操作。比如复制删除文件、擅自执行程序、访问广告网站等,甚至是攻击别的电脑。
为了不让用户阻止自己的操作,该毒会利用系统自身的进程文件smss.exe加载该毒文件sysproc.dll,实现运行。这样一来,用户即便发觉系统异常,也无法使用任务管理器来关闭病毒进程,病毒也就可以在电脑中尽可能久的呆下去。
实际上,这个病毒已经有些年头,早在2006年时它就曾出现过,这次爆发的只不过是它的一个新变种。但病毒作者利用将该毒与近来流行的一些实用小软件捆绑,以及借助下载器进行传播,还是达到了4万多台电脑的日均保守感染量。
二、
今天最值得注意的木马依然是网页木马。网马下载器1023(js.downloader.p.1023)这一JS网马的感染量从昨日开始呈现出迅速走高的态势,单日保守感染量就达到8万多台。尽管与全国近2亿的电脑数量相比,8万台只是九牛一毛,但对病毒作者来说,也是不小的“成绩”了。
此毒主要是利用IE0day漏洞和多款第三方软件的安全漏洞进行传播,病毒作者只需在网上找一个人气高的网站,破解其权限,再将该毒加到其页面中,就可以坐收渔利。一旦有存在安全漏洞的电脑访问此网页,“网马下载器1023”就能在该台电脑上制造溢出,从而突破电脑的安全防御。
如果用户没有安装杀毒软件,或者杀毒软件不能处理该毒,那么等待用户的,就是自己电脑中出现许多由“网马下载器1023”下载的盗号木马,将各类有价值的数据盗窃一空。随着运行的木马越来越多,系统运行速度会明显变慢,甚至死机。
来自金山毒霸反病毒工程师的几点安全建议
1.安装专业的正版杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开,并一定要开启自动升级功能,遇到杀毒软件异常的问题,要尽快与其生产厂商联系求助。
2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大,只要你的系统中存在安全漏洞,病毒就可以找到突破防御的缝隙。因此,请尽可能使用正版软件,以获得及时的升级服务。
3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户,因此建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,这样才能切断病毒感染的途径,不给病毒以可乘之机。
4.警惕网络诈骗,切记“天上不可能掉馅饼”。杀毒软件可以为您拦截恶意程序的攻击,而至于基于社会工程学的诈骗,很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理,比如QQ中大奖、网站抽大奖等。
