不支持Flash
|
|
|
“磁碟机”下载病毒 局域网瘫痪遭殃http://www.sina.com.cn 2008年01月09日 10:36 中关村在线
作者:张齐
记者近日从金山毒霸方面获悉,一种磁碟机变种可以从网络中下载其他病毒,对整个局域网用户造成比较大的影响。而另一种常见的木马下载器仍然有很强的破坏能力,对网络游戏的威胁较大。 “磁碟机变种204808”(Win32.VcingT.ph.204808),这是一个感染型病毒。该病毒运行后,会在各盘产生autorun病毒,并感染所以符合条件的exe文件,造成部分文件损坏。它还会从网络下载更多的病毒,其中含有arp欺骗病毒,会对局域网产生极大影响。毒霸目前已可修复被感染exe文件。 一、“磁碟机变种204808”(Win32.VcingT.ph.204808) 威胁级别:★★ 病毒进入用户的电脑系统后,会在系统盘中释放出7个病毒文件,分别为%WINDOWS%\system32\Com\目录下的lsass.exe、smss.exe、netcfg.dll、netcfg.000,c:\WINDOWS\system32\目录下的dnsq.dll,c:\WINDOWS\system32\drivers\目录下的alg.exe,以及系统盘根目录下的037589.log。此外,病毒还会在所有磁盘分区中,生成AUTO病毒autorun.inf和相应的pagefile.pif病毒文件,只要用户用鼠标左键双击含毒磁盘分区,病毒就会再次被激活。如果用户在中毒电脑上使用U盘等移动存储器,病毒也会立即将其传染,借以扩大自己的传播范围。 随后,病毒篡改系统相关数据,将自己添加到系统盘“%Documents and Settings%\All Users\「开始」菜单\程序\启动\~.exe.xxxxxx”路径下,进行自启动(xxxxxx为随机数字)。然后,它迅速破坏电脑中已安装的安全软件的运行,几乎所有著名厂商的产品都在该病毒的“黑名单”中。 病毒运行后,大量感染所有非系统盘分区下的exe文件,连rar、zip压缩包内的exe文件也不放过。同时它还感染htm、html等格式的网页文件,添加挂马代码。如果电脑已连接网络,病毒就会先访问http://w.XXX.com/r.htm这个由黑客指定的地址,获取一个病毒文件列表,然后利用IE浏览器悄悄下载上述列表中的的病毒。被下载的病毒毒中,有盗号木马、ARP欺骗病毒等,它们会给用户的系统安全、个人隐私、虚拟财产造成无法估计的更大破坏。并且,其中的ARP病毒会立即展开对局域网内其它电脑的攻击,造成局域网瘫痪。 被该病毒感染的文件体积会有所增大,并且只要启动这些文件,病毒就会被激活发作,同时造成部分受感染文件的损坏。不过使用毒霸就可修复绝大多数被感染的文件。 二、“木马下载器69632”(Win32.PSWTroj.OnLineGames.69632) 威胁级别:★★ 病毒顺利潜入用户的电脑系统后,在%WINDOWS%\system32\目录下释放出病毒文件sysload2.exe,随后就修改注册表,将自己加入启动项,实现随系统启动而自动运行之目的。 当成功运行起来,病毒就在后台悄悄运行IE浏览器和记事本进程,并利用其创建远程线程,从黑客指定的地址“http://a.2*0*ip.com/c*s.css”下载一份病毒列表。然后,根据列表中的地址去下载其它木马病毒到本机上运行,给用户的系统和虚拟财产安全,甚至个人隐私带来无法估计的威胁。 同时,病毒会搜索系统盘,感染QQ聊天软件、PP点点通、迅雷下载器、BitComet下载器、realplay播放器,以及网络游戏《征途》、《梦幻西游》、《惊天动地》等程序的可执行文件,并在全部磁盘分区的根目录下创建AUTO病毒文件AutoRun.inf和Tool.exe,当用户启动受感染文件、双击含毒磁盘分区,或者在中毒电脑上使用U盘等移动存储器时,病毒就会立即被再次激活。
【发表评论 】
不支持Flash
|