灰鸽子变种死灰复燃 劫持者成杀软克星

作者：中关村在线 张齐

    一、“灰鸽子变种333312”（Win32.Hack.Huigezi.hx.333312）  威胁级别：★★
   
    病毒源文件进入用户电脑系统后，会立即在系统盘%Windows%目录下释放出病毒文件lsuss.exe，并在同一目录下创建一个Delete.bat文件，将病毒源文件删除，使用户不易发现它。之后，病毒修改注册表，创建相关服务，这样它以后就能在用户每次启动系统时而随之启动。
   
    病毒运行时，为之前生成的lsuss.exe创建一个隐藏的进程，在用户不知晓的情况下开启系统后门，连接远程服务器，为让黑客远程控制用户机器提供方便。当远程控制成功后，黑客便可执行捕捉多媒体信息、文件管理、创建和关闭服务、创建和终止进程、获得用户进程与模块列表、执行命令、获取窗口标题等几乎所有他们想要的操作。将用户电脑变成一个任其摆布的“肉鸡”。

    二、“安全劫持者23559”（Win32.Troj.AgentT.ge.23559）  威胁级别：★★
 
    病毒成功运行后，会在系统盘中生成六个病毒文件，分别为%Windows%\system32\目录下的verclsids.exe，%ProgramFiles%目录下的meex.exe，%ProgramFiles%\Common Files\Microsoft Shared\目录下的fjmnjay.inf、yedeayu.exe，以及%ProgramFiles%\Common Files\System\目录下的ewwwoxi.exe和fjmnjay.inf。另外，还在每个磁盘分区根目录下面创建以下两个病毒文件：Autorun.infmcqdvnc.exe，其中Autorun.inf文件的内容指向mcqdvnc.exe，当用户双击打开磁盘分区时，病毒就被激活。此后，只要用户在中毒电脑上使用U盘等移动存储器，病毒就会立即将其传染。
 
    之后，病毒开始大量修改

注册表。它将自己的相关信息添加到系统启动项，达到随系统自动启动之目的。而为了不让用户发现自己，它会破坏文件夹选项的设定数据，将自己的文件显示模式设为隐藏，并且每次启动后，就创建IExplorer.exe进程并将自己注入其中。
 
    同时，病毒会添加键值，实现对“诺顿”、“Autoruns启动项管理工具”等多种安全软件的映像劫持，如果用户试图使用安全软件，会发现最终被启动的全是病毒。而为了防止用户进入安全模式手动查杀，病毒还会破坏系统安全模式的有关数据。
 
    当完成以上动作后，病毒就会悄悄建立远程连接，从http://www.w****b.com/这一网址读取最新的指令信息，升级并下载其他木马或者病毒，给用户造成更大损失。

    金山反病毒工程师建议
 
    1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控、内存监控等），遇到问题要上报， 这样才能真正保障计算机的安全。
 
    2.玩

网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。