“木马驱动器32768”(win32.troj.sysjunk2.ak.32768),这是一个木马程序。它实际上是某款木马程序的驱动模块,用于帮助木马本体实现突破防御、获取权限等。该毒无法独立运行,如果您安装的毒霸提示说发现该毒,说明有某款木马正在试图入侵。
“脚本狂徒2673”(js.downloader.iv.2673),这是一个脚本木马。它属于近来流行的一个脚本木马家族的成员,能利用网页挂马守候作案对象——那些具有系统安全漏洞或第三方软件漏洞的电脑,一旦发现就尝试入侵。然后下载别的木马到其中运行。
一、
病毒英文名
病毒中文名
日均感染电脑量
威胁级别
入侵方式
win32.troj.sysjunk2.ak.32768
木马驱动器32768
76230
★★
下载器帮助 捆绑文件
就和普通制造业的模块化一样,病毒制作也在走向模块化。病毒作者不必亲自写完所有代码,而只需要挑选自己喜欢的模块相组合,就能得到想要的病毒。“木马驱动器32768”(win32.troj.sysjunk2.ak.32768)就是一个这样的模块。
此模块为一个驱动文件,加密加花比较强。毒霸反病毒工程师对其进行破解分析后,发现该驱动主要用于恢复系统SSDT表,以及获取系统权限,还可以破坏一些常见安全软件的驱动。
这些行为直接决定了木马是否可以成功入侵,难怪病毒作者如此费心的对其进行加密,并且还放上许多花指令试图感染反病毒工作者的分析。
根据毒霸云安全系统的统计,此模块昨日在国内网络中的保守感染量为76000多台电脑,但与它同时入侵的其它木马模块,却又各有不同,也就是说,有多款木马都利用了此模块。看来,这款产品还真受广大病毒作者的欢迎。
二、
病毒英文名
病毒中文名
日均感染电脑量
威胁级别
入侵方式
js.downloader.iv.2673
脚本狂徒2673
743040
★★
网页挂马
该毒为昨日曾发出预警的“脚本狂徒2101”(js.downloader.iv.2101)的一款变种。它们的感染方式、病毒结构几乎完全相同,只是有个别数据稍有区别,毒霸反病毒工程师判定,它们是病毒自动生成器的产物。
“脚本狂徒2673”昨日在全国网络中取得70多万台的入侵成绩,而它的兄弟,也就是昨天我们介绍过的“脚本狂徒2101”的成绩,则达到120万台。当然,很多时候,这两个毒和它们的其它变种是同时进行入侵的,因此我们可以“乐观”地估计,这个家族的感染量应该不会突破200万台。
并且,对于已安装了毒霸,并且正常升级的用户,如果在自己电脑上看到发现此毒的提示,不必过于惊慌,弹出提示其实表明毒霸是可以查杀该毒的。但如果总是弹出提示,那就有一个可能:您所浏览的网页被挂有此毒,并且您的电脑存在某种漏洞,请立即使用清理专家进行修补。
来自金山毒霸反病毒工程师的几点安全建议
1.安装专业的正版杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开,并一定要开启自动升级功能,遇到杀毒软件异常的问题,要尽快与其生产厂商联系求助。
2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大,只要你的系统中存在安全漏洞,病毒就可以找到突破防御的缝隙。因此,请尽可能使用正版软件,以获得及时的升级服务。
3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户,因此建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,这样才能切断病毒感染的途径,不给病毒以可乘之机。
4.警惕网络诈骗,切记“天上不可能掉馅饼”。杀毒软件可以为您拦截恶意程序的攻击,而至于基于社会工程学的诈骗,很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理,比如QQ中大奖、网站抽大奖等。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2009年2月10日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2009或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
