【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在今天的病毒中“下载者神思九号”、“自由感染者”都值得关注。
一、今日高危病毒简介及中毒现象描述:
◆“下载者神思九号”病毒运行后,在系统盘中释放出两个病毒文件,分别为%windows%目录下的windate.exe,以及%program files%\GuideMan\目录下的gusetup.exe,并修改注册表启动项中的相关数据,使这两个文件可以随系统启动而启动。接着,病毒在IE缓存下迅速生成海量的可执行病毒文件,同时产生的还有一个名为newup2[1].txt的文本文件,病毒会根据它里面的指定内容和路径下载更多其它病毒。
同时,病毒在系统盘中WINDOWS文件夹、SYSTEM32文件夹、TEMP文件夹、Common files文件夹下都生成了病毒可执行文件,用户稍不注意就可能误点击。而为了躲避用户的检查,它还会将自己的文件设置为图标为空。也就是说,用户在WINDOWS文件夹下看到windates.exe文件图标是没有的,只有文件名而已。
当病毒随系统跑起来后,系统资源会被逐渐侵蚀,造成电脑反应速度变慢。虽然这并不足以引致系统瘫痪,但是,仍会给用户使用造成不便。并且,只要用户使用IE浏览器上网,病毒就会修改IE的连接设置,不断弹出广告网页和黄色网站。如果用户电脑中安装有清理专家,可以扫描出大量由此病毒下载的其它病毒。
◆“自由感染者”病毒进入系统后,将三个病毒文件hook.dl_、tazebama.dl_、tazebama.dll释放到系统盘的%Documents and Settings%目录下,并将它们的数据写入系统注册表,使自己实现随系统启动而自动运行之目的。
同时,病毒在各盘根目录生成隐藏属性的AUTO病毒,分别是zPharaoh.exe病毒文件和autorun.inf辅助文件,只要用户双击进入含毒磁盘分区,病毒就能被激活,瞬间感染包括U盘在内的任何已连接磁盘,连“[用户目录]\Local Settings\Application Data\Microsoft\CD Burning”目录下也被病毒潜伏,如果用户刻录光盘,病毒就可借机将自己复制到光盘上。
当病毒运行起来后,它遍历磁盘寻找exe文件进行感染,并将搜索到的邮箱地址记录到系统盘的“%Documents and Settings%\[USER NAME]\Application Data\tazebama\”目录下名为zPharaoh.dat的病毒文件中,然后向这些地址发送含毒邮件。对于局域网内的其它用户电脑,病毒也不会放过传染的机会,它会尝试利用众多的弱口令去进行试探。
如果仅仅是单纯传播自己,该病毒并不会造成严重破坏,但是,它在修改注册表时,会破坏用户系统的自动播放管理模块,造成所有储存设备都可以自动运行,这就给其它不良软件的入侵提供了机会,因此,对该病毒需提高警惕。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,金山的病毒库均已更新,并能查杀上述病毒。感谢金山毒霸为51CTO安全频道提供病毒信息。
相关文章
