“灰鸽子变种762368”(Win32.Hack.Huigezi.fg.762368),该木马为灰鸽子变种。它运行后,会自动获取中毒用户的IP地址,并悄悄建立与黑客服务器端的远程连接。这样,黑客就可对中毒计算机实施各种操作和破坏。
“木马下载器181248”(Win32.Troj.Agent.181248),这是一个木马下载器。病毒作者运用了大量加密解密技术来逃避
安全软件的监控,然后将病毒注入其它进程空间运行,从
网络上下载大量的恶意程序。
一、“灰鸽子变种762368”(Win32.Hack.Huigezi.fg.762368) 威胁级别:★★
病毒进入
系统后,会把自己的病毒文件huaerzhuangyo.exe复制到系统盘的%WINDOWS%目录下,并在未经用户允许的情况下迅速修改注册表,把自己的相关信息家入启动项,使自己以后都能随着系统启动而自动运行起来。
当顺利地随系统跑起来后,病毒就开始分析中毒用户的真实IP地址,并在用户无法察觉的情况下自动建立远程连接,与黑客指定的服务端地址
http://c*ro**na.v**p.net取得联系。同时,病毒会在中毒
电脑上打开端口号为8000的端口,一旦这个端口被打开,黑客就可通过它完全控制中毒电脑。
届时,在中毒电脑上。无论是文件的创建与删除,还是服务的启动与停止,都将处于黑客的掌控之中,黑客不仅能任意查看用户存放在电脑上的资料,甚至还能遥控中毒电脑去攻击别的正常电脑,进行各种网络犯罪,并栽赃给中毒电脑的用户。
二、“木马下载器181248”(Win32.Troj.Agent.181248) 威胁级别:★★
病毒进入用户的电脑系统后,在系统盘的%WINDOWS%\temp\目录下释放出病毒文件~1e2ab1a9506114473.tmp。此处需要注意的是,该文件名是病毒根据用户系统的计算机名随机计算出来的,并不固定,不过其古怪的名称可以作为辨认它的一个特征。而该文件是病毒用于保存自己EXE原始文件的,因此,找到它,就能顺藤摸瓜,揪出病毒原始文件。
但在用户把它揪出来前,病毒会继续自己的破坏行为。它在%WINDOWS%\system32\目录下生成用于保存自己配置信息的病毒文件kerberos.cpl,而且这个文件名也是随机的。
随后,病毒修改注册表,把自己加入启动项,达到随系统自动启动之目的。如果它能顺利运行起来,就会把自己注入到系统内的其它进程,利用它们空间来运行自己,下载大量的其它的盗号木马和病毒,给用户造成无法估计的损失。
顺便提及用户,被下载到用户电脑上的病毒,会以随机名称放在之前生成的%WINDOWS%\temp\目录下。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、
内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络
游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
