|
【创心服务 联通你我】青春逢盛世,奋斗正当时 |
| 中国通信网 |
时间:2009-01-12 |
信息来源:金山安全中心 |
“普通远程控制器757764”(Win32.Troj.EjokT.ea.757764),这是一个远程控制木马。它能帮助黑客窃取用户系统中的数据或控制电脑,该毒采用注入系统进程内部运行的方式来躲避检查,具有一定程度的隐藏能力。
“犯罪核心下载器4841”(Win32.Troj.Tibs.s.4841),这是一个木马下载器。它会下载大量的其它木马程序到电脑中执行,并于执行完毕后删除这些木马的原始文件,防止被用户发现。
一、“普通远程控制器757764”(Win32.Troj.EjokT.ea.757764)威胁级别:★
此毒是一个典型的非法远程控制程序,也就是通常所说的远程木马。当它进入用户的电脑系统,并释放出文件、修改注册表实现开机启动后,就会于后台悄悄建立网络连接,收发黑客指令。
它会收集用户系统的一些基本数据,如电脑的MAC地址、IP地址、硬件配置信息等,将它们发送给黑客,黑客根据这些信息,判断用户电脑是否对他的“胃口”。
如果觉得值得入侵,就会根据该毒在系统中开启的后门对用户电脑进行控制,盗窃其中的重要数据,甚至将中毒电脑变成攻击其它电脑的“肉鸡”。
该毒比较重要的两个文件会被释放到%WINDOWS%\SYSTEM32\目录中,分别是resiifers.ini和tuanzmmctecyf.dll。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-ejokt-ea-757764-53401.html
二、“犯罪核心下载器4841”(Win32.Troj.Tibs.s.4841)威胁级别:★★
病毒中文名来源于该毒的主要文件“kernels32.exe”,英文意思为“核心”。正如其名一样,该毒一旦进入系统,就会招兵买马,下载大量的其它木马程序,并根据最新的配置文件来控制这些木马,让它们按照病毒作者指定的规则去运行,宛若犯罪组织的控制核心。
所有被下载的木马原始文件都隐藏于系统临时目录%WINDOWS%\TEMP\中,采用类似于6.qtdfmp、7.qtdfmp的随机命名。随后该下载器会按配置文件的要求激活它们,执行各种非法操作,盗窃各种有价值的数据文件。
这些木马的下载源头都来自“http://85.*****.113.242”这个地址,该地址同时还提供此下载器的配置文件更新服务,这样一来,病毒作者就可以不断向该毒发出最新的指令。
根据毒霸反病毒工程师的检查,这款下载器主要利用捆绑正常文件或伪装成其它文件诱惑用户下载的方法来传播,如果您没有安装金山毒霸,那么避免遭遇该毒的最好办法就是尽量少去不知名的下载站点。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-tibs-s-4841-53397.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。 |
|
|
|
|
|
 热门资讯 |
|
|
|
|
|
|
