【51CTO.com 综合报道】2008年2月25日,金山毒霸全球反病毒监测中心发布周(2.25-3.2)病毒预警,本周一种黑客病毒“牧民远程控制361984”(Win32.Hack.Delf.388261)正在疯狂作案。黑客可利用该病毒控制用户电脑,使之沦为“肉鸡”,进而给用户带来无法估计的损失和麻烦。
金山毒霸反病毒专家李铁军表示,该病毒进入系统后即刻创建后门,并将自己设置为开机自启动。然后在用户无法察觉的情况下开启远程线程,连接http://yk2812017.3322.org:8000这个由黑客(木马种植者)指定的地址,使黑客可以控制被感染机器。
李铁军分析指出,病毒顺利潜入用户系统后,将病毒文件sysi.dll释放到系统盘的%WINDOWS%%\system32目录下,然后修改系统注册表,创建系统服务,添加了可令电脑自动上线的数据。当病毒开始运行,它会创建单独的svchost.exe进程,但由于svchost.exe在正常的电脑中也可能同时出现多个,这就造成一些初级用户感到迷惑,难以识别哪个是病毒进程。而当黑客控制中毒电脑后,他就能进行几乎任何想要的操作,甚至利用中毒电脑去攻击其它电脑,给用户带来极大的威胁。
据了解,本周内广大电脑用户除了需要警惕“牧民远程控制 ”之外,还需要特别警惕“覆盖式下载器 ”(Win32.Troj.Agent.tr )与“AUTO下载者135168 ”(Worm.AutoRun.125893)两大病毒。前者病毒进入系统后,覆盖感染系统桌面进程的文件explorer.exe,只要用户启动电脑,病毒就能够随着explorer.exe的运行而跟着跑起来。然后修改系统时间为2001年使用户可能装有的“卡巴斯基”失效并强行中止安全辅助软件“360安全卫士”的进程,接着建立远程连接,从木马种植者制定的网址http://www.33**92.com/下载更多的其它恶意程序,给用户系统造成各种可能的破坏。后者运行后,在用户无法察觉的情况下启动IE浏览器的进程,创建远线程,从木马种植者指定的地址http://ee.*v**av.com下载完整的自身程序到本地运行。并感染本机和局域网内其它电脑中的exe和scr格式的文件。另外木马程序还会查找已连接到中毒电脑上的U盘等移动存储设备,利用移动存储器来扩大自己的传播范围。
【相关文章】
相关文章
