10月20日警报:小心Rootkit和“波”

http://www.sina.com.cn 2006年10月20日 11:36 太平洋电脑网

作者：GonNa

　　在今天的病毒中广告Rootkit、Backdoor/Gobot.c“古堡”变种c和Backdoor/IRCBot.fp“IRC波”变种fp值得关注。

　　病毒名称：广告Rootkit
　　中文名：Rootkit.ADS
　　病毒类型：Rootkit
　　危害等级：★★★☆
　　影响平台：WIN9X/NT/2000/XP

　　该病毒运行后，会在系统目录下生成名为lzx32.sys的文件，并创建名为pe386的系统服务以实现随系统启动自动运行。该病毒会自动将用户的IE浏览器主页锁定为一个名为“piaoxue(飘雪)上网导航”的网站，以提高该恶意网站的访问量。病毒采用Rootkit技术，隐藏自身文件和注册表信息，使它很难被一般用户发现和清除。

病毒名称：Backdoor/Gobot.c
　　中文名：“古堡”变种c
　　病毒长度：可变
　　病毒类型：后门
　　危害等级：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Backdoor/Gobot.c“古堡”变种c是一个利用网络共享进行传播的后门。“古堡”变种c运行后，自我复制到Windows目录下，文件名随机生成。修改

注册表，实现开机自启。终止某些杀毒软件和防火墙的进程，降低被感染计算机上的安全设置。自我复制到共享目录下，实现网络共享传播。连接指定的IRC服务器，侦听黑客指令，盗取Windows软件产品的ID和各种游戏的序列号；终止Windows服务和某些特定的进程；重新启动用户计算机；对指定目标执行DoS攻击等。

　　病毒名称：Backdoor/IRCBot.fp
　　中文名：“IRC波”变种fp
　　病毒长度：可变
　　病毒类型：后门
　　危害等级：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Backdoor/IRCBot.fp“IRC波”变种fp是一个利用特定的IRC完全控制被感染计算机的后门。“IRC波”变种fp运行后，自我复制到系统目录下，文件名可变。修改注册表，实现开机自启。在系统目录下创建一个黑客工具，利用Rootkit隐藏自我，防止被查杀。开启被感染计算机的后门，利用自己的IRC客户端连接指定的IRC服务器，侦听黑客指令，对指定目标执行DoS攻击，从黑客指定站点下载特定文件，远程控制被感染计算机上的IRC客户端，发送被感染计算机上的系统信息和网络信息等。另外，“IRC波”变种fp还可以自升级。