病毒预警:“后门粉碎器”自动传播 帮助黑客入侵电脑
来自:MACD论坛(bbs.macd.cn)
作者:淡淡体味
浏览:1866
回复:0
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
“后门粉碎器49152”(Win32.Troj.Agent.49152),这是一个能够自动传播的远程后门木马。它将自己的文件伪装成系统进程,进入电脑系统后就将用户电脑与黑客服务器相连接,试图帮助黑客入侵用户的电脑。
“黑客控制下载器241664”(Win32.Hack.PeArmorT.a.241664),这是一个远程控制木马。它可以帮助黑客入侵用户的电脑系统,并自动下载一些其它恶意文件到电脑中运行。它具有一定程度的对抗能力,会阻止系统向用户发出异常警报。
一、“后门粉碎器49152”(Win32.Troj.Agent.49152)威胁级别:★★
这款远程木马最早在今年年初进入毒霸反病毒工程师的视线。感染量一直非常小,每日只有一两台电脑受到该毒袭击。但在10月10日,该毒感染量曾突然飙升至16000多台,随后又迅速减少到每日2千多台,形成比较稳定的“常规袭击”。
该毒的主要危害是开启用户电脑的一些敏感端口,与病毒作者设定好的黑客服务器进行连接,便于黑客进行入侵。
为扩大自己的感染范围,该毒采用了AUTO技术进行传播。每当感染了一台新的电脑,该毒就会在所有的磁盘分区中建立副本RavMon.exe,并用AutoRun.inf指向它。只要用户在中毒电脑上使用U盘等移动存储设备,该毒就会立即将移动设备感染,实现自动传播。另外,有迹象表明,该毒的部分变种会感染系统中某些格式的文件。
病毒会在系统中释放出多个子文件,比如%WINDOWS%目录下的SVCHOST.EXE和SVCHOST.INI,以及%WINDOWS%\TEMP\目录下的9988.tmp。各文件会相互配合,绕开监控、夺取权限,最终攻陷用户电脑。
从近来的感染统计上看,该毒的感染量又有上升趋势,因此发出预警提醒用户。毒霸可成功拦截查杀该毒,用户如果看到的红色警告窗口弹出,正是表明毒霸工作正常。不过如果总是频繁弹出该毒的警告,用户则需注意检电脑是否未打补丁、是否有浏览不安全的网站。
二、“黑客控制下载器241664”(Win32.Hack.PeArmorT.a.241664)威胁级别:★
该毒的主要行为和大多书远程控制木马一样,释放完子文件后,就获取系统权限,然后开启后门与黑客服务器连接,它与普通木马的不同之处是具有一定程度的对抗能力。尽管对抗方式不是很先进,但这也让它跻身“对抗型木马”的行列。
病毒作者给它配备了一个beep.sys文件,当病毒进入用户系统后,此文件就会被释放到%WINDOWS%\SYSTEM32\drivers\目录下,替换掉原有的同名文件。这个文件是系统用于控制发出报警提示音的,如果该文件被替换,那么当系统出现异常时,电脑也不会发出提示音,用户也就难以知晓病毒正在进行的破坏了。
当完成这一步骤,此毒就在后台开启多个端口,制造后门,并与黑客服务器进行远程通讯,等待黑客的下一步指令。同时还会下载一份病毒列表,根据其中的地址去下载更多其它恶意程序,比如盗号木马,给用户电脑带来无法预料的麻烦。 |