聪明木马感染系统文件不影响其原有功能

guyou888

聪明木马感染系统文件不影响其原有功能

来自：MACD论坛(bbs.macd.cn) 作者：guyou888 浏览：1673 回复：0

特洛伊木马Trojan.Neprodoor在用户不知情时开启后门，给计算机埋下安全隐患。

病毒名称：Trojan.Neprodoor

病毒类型：特洛伊木马

受影响的操作系统：Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003

病毒分析：

Trojan.Neprodoor木马在用户不知情时开启后门，给计算机埋下安全隐患。Trojan.Neprodoor木马将自身拷贝到System32目录下，并添加注册表键值，以达到开机便能够自动启动的目的。木马会感染系统驱动文件ndis.sys，且感染方法十分“聪明”— 它不仅保证被修改的驱动文件ndis.sys不会丢失其原有的功能，令用户很难察觉系统的运行有任何异常；同时，它会悄悄地将后门程序代码注入到services.exe进程中，并创建互斥量来确保只有一个木马实例在运行。被感染的计算机会尝试通过80端口同一批指定的IP地址建立TCP连接。一旦连接成功，木马可能会接受远程服务端的指令盗取用户隐私信息，下载并运行恶意代码，或做TCP代理。

诺顿安全专家建议：

1.诺顿安全软件创新的“Botnet 检测”功能，有效防止他人控制您的 PC、窃取您的隐私信息或利用您的计算机攻击其他 PC。

2.配置诺顿安全软件的“智能双向防火墙”功能，阻止不明应用程序访问网络，令被窃取的用户信息无法传输。

3.使用诺顿2006版本及之后产品的现有用户，可以免费将产品升级至诺顿2009版本。

4.没有安装安全软件的用户可以下载诺顿360（3.0版）、诺顿网络安全特警2009或诺顿防病毒2009试用版对病毒进行查杀。

赛门铁克中国安全响应中心简介

赛门铁克中国安全响应中心于2008年2月成立于成都，与位于全球各地的安全响应**同协作，针对当前威胁和安全风险进行监控分析，主动识别并分析新型威胁，并将作为中国互联网安全威胁现状的窗口，为本地以及全球用户提供更为强大的覆盖力度，从容应对新型威胁。