不支持Flash

12月29日病毒预警:灰鸽子与木马双双来袭

http://www.sina.com.cn 2007年12月29日 10:42  eNet硅谷动力

  【eNet硅谷动力消息】“灰鸽子变种762368”(Win32.Hack.Huigezi.fg.762368),该木马为灰鸽子变种。它运行后,会自动获取中毒用户的IP地址,并悄悄建立与黑客服务器端的远程连接。这样,黑客就可对中毒计算机实施各种操作和破坏。

  “木马下载器181248”(Win32.Troj.Agent.181248),这是一个木马下载器。病毒作者运用了大量加密解密技术来逃避安全软件的监控,然后将病毒注入其它进程空间运行,从网络上下载大量的恶意程序。

  一、“灰鸽子变种762368”(Win32.Hack.Huigezi.fg.762368)威胁级别:★★

  病毒进入系统后,会把自己的病毒文件huaerzhuangyo.exe复制到系统盘的%WINDOWS%目录下,并在未经用户允许的情况下迅速修改注册表,把自己的相关信息家入启动项,使自己以后都能随着系统启动而自动运行起来。

  当顺利地随系统跑起来后,病毒就开始分析中毒用户的真实IP地址,并在用户无法察觉的情况下自动建立远程连接,与黑客指定的服务端地址http://c*ro**na.v**p.net取得联系。同时,病毒会在中毒电脑上打开端口号为8000的端口,一旦这个端口被打开,黑客就可通过它完全控制中毒电脑。

  届时,在中毒电脑上。无论是文件的创建与删除,还是服务的启动与停止,都将处于黑客的掌控之中,黑客不仅能任意查看用户存放在电脑上的资料,甚至还能遥控中毒电脑去攻击别的正常电脑,进行各种网络犯罪,并栽赃给中毒电脑的用户。

  二、“木马下载器181248”(Win32.Troj.Agent.181248)威胁级别:★★

  病毒进入用户的电脑系统后,在系统盘的%WINDOWS%\temp\目录下释放出病毒文件~1e2ab1a9506114473.tmp。此处需要注意的是,该文件名是病毒根据用户系统的计算机名随机计算出来的,并不固定,不过其古怪的名称可以作为辨认它的一个特征。而该文件是病毒用于保存自己EXE原始文件的,因此,找到它,就能顺藤摸瓜,揪出病毒原始文件。

  但在用户把它揪出来前,病毒会继续自己的破坏行为。它在%WINDOWS%\system32\目录下生成用于保存自己配置信息的病毒文件kerberos.cpl,而且这个文件名也是随机的。

  随后,病毒修改注册表,把自己加入启动项,达到随系统自动启动之目的。如果它能顺利运行起来,就会把自己注入到系统内的其它进程,利用它们空间来运行自己,下载大量的其它的盗号木马和病毒,给用户造成无法估计的损失。

  顺便提及用户,被下载到用户电脑上的病毒,会以随机名称放在之前生成的%WINDOWS%\temp\目录下。

  作者:

Powered By Google
不支持Flash
·《对话城市》直播中国 ·新浪特许频道免责公告 ·企业邮箱换新颜 ·邮箱大奖等你拿
不支持Flash
不支持Flash