江民7月24日
病毒播报:"窃贼LD"窃取用户信息 发送骇客指令
江民今日提醒您注意:在今天的病毒中I-Worm/LoveLetter.cb“爱虫”变种cb和Trojan/PSW.LdPinch.lbl“窃贼Ld”变种lbl值得关注。
病毒名称:I-Worm/LoveLetter.cb
中 文 名:“爱虫”变种cb
病毒长度:60928字节
病毒类型:
网络蠕虫
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
I-Worm/LoveLetter.cb“爱虫”变种cb是“爱虫”网络蠕虫家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“爱虫”变种cb运行后,自我复制到被感染
计算机系统的“%SystemRoot%\”目录下,重命名为“xwrm.exe”,并将
文件属性设置为“隐藏”。修改注册表,实现网络蠕虫
开机自动运行。在“%SystemRoot%\system32\”目录下释放病毒
文件“WindowsUpdt.exe”并
自动运行。在被感染
计算机的后台秘密搜索
计算机中的*.htm、*.PHP、*.CGI等
文件,搜索有效的邮箱地址,利用自带的SMTP引擎群发带毒邮件。连接骇客指定的
服务器站点,侦听骇客指令,骇客可远程控制被感染的
计算机,进行恶意操作,这些命令可能是任意
文件操作、注册表操作、键盘记录、
下载执行远程
程序、任意网络操作等,导致被感染的
计算机成为僵尸
电脑,给用户带来一定程度的损失。
病毒名称:Trojan/PSW.LdPinch.lbl
中 文 名:“窃贼Ld”变种lbl
病毒长度:27532字节
病毒类型:
木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.LdPinch.lbl“窃贼Ld”变种lbl是“窃贼Ld”木马家族的最新成员之一,采用VC++编写,并经过添加保护壳处理。“窃贼Ld”变种lbl运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重命名为“CellWill.exe”。自我注册为系统服务,实现木马开机自动运行。记录键击,盗取用户计算机系统信息,并将盗取到的信息发送到骇客指定的服务器站点上,很有可能会造成用户输入的用户名、
密码等机密信息泄露,给用户带来一定程度的损失。在被感染计算机系统的后台连接骇客指定服务器站点,下载恶意程序,保存在系统盘根目录下,并在被感染计算机上自动运行。其中,所下载的恶意程序可能包含网游木马、恶意
广告程序、后门等,给用户带来不同程度的损失。另外,“窃贼Ld”变种lbl最后会自我删除,消除痕迹。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒
软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民
杀毒软件的虚拟机脱壳技术,针对目前主流壳病毒进行虚拟脱壳处理,有效清除“壳病毒”。
4、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
5、请不要随意打开邮件中给出的链接以及附件,尤其是来历不明的邮件,以免中毒。
6、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、
网页监控等多种主动防御功能,更可对未知病毒进行主动监控,对病毒层层拦截,即使有个别新病毒和恶性病毒入侵了系统,也无法逃脱江民杀毒软件主动防御系统的层层截杀,更好地保护用户上网安全。
7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:
http://online.jiangmin.com/chadu.asp
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民
网站http://www.jiangmin.com进行在线查阅。
金山毒霸每日病毒预警
“全屏广告下载器90112”(Win32.TrojDownloader.AutoRun.90112),这是一个有广告功能的木马下载器。它会下载其它木马文件,并根据远程服务器的指令,弹出指定的广告网页。
“华夏Ⅱ盗号器110627”(Win32.Troj.OnLineGames.wi.110627),该病毒是网络
游戏《华夏Ⅱonline》的盗号木马。病毒运行后会修改注册表生成启动项,盗取
游戏账号信息,并通过网页提交的方式发送到木马种植者手上。
一、“全屏广告下载器90112”(Win32.TrojDownloader.AutoRun.90112) 威胁级别:★
该毒最明显的症状是令IE
浏览器全屏弹出广告网页,严重干扰用户的正常工作。同时,它所下载的木马文件,可能会带来无法估计的破坏。
病毒进入电脑后,就把自己的文件smss.exe和eps.vbs释放到%
WINDOWS%\Tasks\目录下,并将自己加入注册表启动项实现开机自启动。同时,它会破坏系统中的HOST数据,解除系统的网络封锁,以便自己能够自由连接指定的远程服务器。
病毒连接指定的地址http://a***an.3**2.org ,接收病毒作者安排好的指令,根据指令中的地址弹出广告网页。由于是全屏显示,会严重影响用户的正常使用。并且,病毒还会下载一些其它木马文件。根据病毒作者安排的不同,这些文件会随时变化。毒霸反病毒工程师猜测,它们可能会是远程控制木马和盗号木马。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-t ... un-90112-50824.html
二、“华夏Ⅱ盗号器110627”(Win32.Troj.OnLineGames.wi.110627) 威胁级别:★
这个盗号木马的目标是网络游戏《华夏Ⅱonline》,它进入电脑、释放完文件后,就会修改注册表启动项,把自己的数据写入其中,实现开机自启动。
如果可以成功运行起来,病毒就能注入系统桌面进程,实现隐蔽运行。并进一步搜寻和注入《华夏Ⅱonline》的进程。读取用户输入的帐号和密码信息,并以网页提交的方式发送到病毒作者指定的地址http://www.*****99.cn/fuckmanhx/post.asp,令用户遭受虚拟财产的损失。
顺便一提,该毒释放出的文件只有一个hhrdxd.dll,它会被隐藏在%WINDOWS%\system32\下。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-t ... i-110627-50825.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、
内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天
工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年7月23的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录
http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它是:“安德夫木马变种JNL(Trojan.Win32.Undef.jnl)”病毒。该病毒通过网络传播,病毒会从黑客指定网站下载各种木马、病毒等恶意程序,给用户计算机安全带来威胁。
本日热门病毒:
“安德夫木马变种JNL(Trojan.Win32.Undef. jnl)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下,并修改注册表启动项,实现随系统自启动。病毒会将自身注入到系统正常进程,给用户查杀病毒带来困难。此外,病毒会试图关闭多种杀毒软件和安全工具,并会纪录用户键盘和
鼠标操作,窃取用户的网游的帐号、密码等隐私信息,并发送给黑客,使玩家蒙受损失。
反病毒专家建议电脑用户采取以下措施预防该病毒:1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次;2、使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞;3、不浏览不良网站,不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全
