病毒预警：“后门粉碎器”自动传播 帮助黑客入侵电脑

淡淡体味

病毒预警：“后门粉碎器”自动传播 帮助黑客入侵电脑

来自：MACD论坛(bbs.macd.cn) 作者：淡淡体味 浏览：1866 回复：0

“后门粉碎器49152”（Win32.Troj.Agent.49152），这是一个能够自动传播的远程后门木马。它将自己的文件伪装成系统进程，进入电脑系统后就将用户电脑与黑客服务器相连接，试图帮助黑客入侵用户的电脑。

　　“黑客控制下载器241664”（Win32.Hack.PeArmorT.a.241664），这是一个远程控制木马。它可以帮助黑客入侵用户的电脑系统，并自动下载一些其它恶意文件到电脑中运行。它具有一定程度的对抗能力，会阻止系统向用户发出异常警报。

　　一、“后门粉碎器49152”（Win32.Troj.Agent.49152）威胁级别：★★

　　这款远程木马最早在今年年初进入毒霸反病毒工程师的视线。感染量一直非常小，每日只有一两台电脑受到该毒袭击。但在10月10日，该毒感染量曾突然飙升至16000多台，随后又迅速减少到每日2千多台，形成比较稳定的“常规袭击”。

　　该毒的主要危害是开启用户电脑的一些敏感端口，与病毒作者设定好的黑客服务器进行连接，便于黑客进行入侵。

　　为扩大自己的感染范围，该毒采用了AUTO技术进行传播。每当感染了一台新的电脑，该毒就会在所有的磁盘分区中建立副本RavMon.exe，并用AutoRun.inf指向它。只要用户在中毒电脑上使用U盘等移动存储设备，该毒就会立即将移动设备感染，实现自动传播。另外，有迹象表明，该毒的部分变种会感染系统中某些格式的文件。

　　病毒会在系统中释放出多个子文件，比如%WINDOWS%目录下的SVCHOST.EXE和SVCHOST.INI，以及%WINDOWS%\TEMP\目录下的9988.tmp。各文件会相互配合，绕开监控、夺取权限，最终攻陷用户电脑。

　　从近来的感染统计上看，该毒的感染量又有上升趋势，因此发出预警提醒用户。毒霸可成功拦截查杀该毒，用户如果看到的红色警告窗口弹出，正是表明毒霸工作正常。不过如果总是频繁弹出该毒的警告，用户则需注意检电脑是否未打补丁、是否有浏览不安全的网站。

　　二、“黑客控制下载器241664”（Win32.Hack.PeArmorT.a.241664）威胁级别：★

　　该毒的主要行为和大多书远程控制木马一样，释放完子文件后，就获取系统权限，然后开启后门与黑客服务器连接，它与普通木马的不同之处是具有一定程度的对抗能力。尽管对抗方式不是很先进，但这也让它跻身“对抗型木马”的行列。

　　病毒作者给它配备了一个beep.sys文件，当病毒进入用户系统后，此文件就会被释放到%WINDOWS%\SYSTEM32\drivers\目录下，替换掉原有的同名文件。这个文件是系统用于控制发出报警提示音的，如果该文件被替换，那么当系统出现异常时，电脑也不会发出提示音，用户也就难以知晓病毒正在进行的破坏了。

　　当完成这一步骤，此毒就在后台开启多个端口，制造后门，并与黑客服务器进行远程通讯，等待黑客的下一步指令。同时还会下载一份病毒列表，根据其中的地址去下载更多其它恶意程序，比如盗号木马，给用户电脑带来无法预料的麻烦。