【赛迪网-IT技术报道】江民今日提醒您注意:在今天的病毒中Worm/Downloader.eg“桌面幽灵”变种eg和Trojan/PSW.Ganhame.b“甘哈拇”变种b值得关注。
病毒名称:Worm/Downloader.eg
中 文 名:“桌面幽灵”变种eg
病毒长度:26868字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/Downloader.eg“桌面幽灵”变种eg是“桌面幽灵”蠕虫家族的最新成员之一,采用Visual C++ 6.0编写,并经过加壳处理。“桌面幽灵”变种eg运行后,自动检测自身进程是否被其它调试软件所调试分析,一旦发现便自动关闭退出。强行将系统时间设置为2001年,导致某些安全软件杀毒和保护功能失效。在被感染计算机的后台以挂起的方式调用系统“svchost.exe”进程,并将恶意代码注入到其中,实现反安全软件的功能,然后进行恶意操作。该恶意代码为“系统杀手”变种a。“系统杀手”变种a在被感染计算机系统的“%SystemRoot%\system32\”目录下创建病毒配置文件。在临时文件夹下释放3个带有“wxp2ins”字样的恶意驱动文件,文件名随机生成,并将文件属性设置为隐藏。第1个驱动文件可还原系统“SSDT HOOK”,致使某些安全软件的防御和监控功能失效,从而达到躲避监控的目的;第2个和第3个驱动文件均可覆盖破坏系统桌面程序“explorer.exe”,把恶意可执行代码写入到系统桌面程序中,具有绕过“还原保护系统”,覆盖破坏被感染计算机真实磁盘中系统文件的功能,使用户防不胜防。遍历当前计算机系统中的进程列表,一旦发现与安全相关的进程,强行将其关闭。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建批处理文件并调用运行,利用该批处理程序去关闭“系统防火墙”。修改注册表,利用进程映像劫持功能禁止指定的安全软件运行。另外,“系统杀手”变种a不仅具有自升级的功能,而且具有自动网页挂马的功能。 “桌面幽灵”变种eg会在被感染计算机系统的后台连接骇客指定站点,下载包括“系统杀手”、“ARP杀手”、“代理木马”、“机器狗”等大量木马病毒到用户计算机中安装运行,给用户带来极大的损失。“桌面幽灵”变种eg还会在任务执行完毕后,会马上关闭退出。在退出时,被注入恶意代码的系统“svchost.exe”进程会删除掉病毒所在磁盘中的文件,使用户无法寻找到该病毒样本。
病毒名称:Trojan/PSW.Ganhame.b
中 文 名:“甘哈拇”变种b
病毒长度:189440字节
病毒类型:木马
危害等级:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Ganhame.b“甘哈拇”变种b是“甘哈拇”木马家族的最新成员之一,采用Delphi语言编写。“甘哈拇”变种b运行后,在“%SystemRoot%\system32\”目录下释放恶意驱动程序并加载运行,破坏部分安全软件的监控功能,大大降低被感染计算机的安全性。在“%SystemRoot%\system32\drivers\”目录下释放病毒组件并插入到所有用户的进程中,隐藏自身、防止被查杀。修改注册表,实现木马开机自动运行。在后台秘密监视正在运行的进程,一旦发现网络游戏《地下城与勇士》客户端程序正在运行,“甘哈拇”变种b可能用自带的图片伪造登录窗口,诱导玩家输入游戏帐号、游戏密码,从而窃取《地下城与勇士》游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件的虚拟机脱壳技术,针对目前主流壳病毒进行虚拟脱壳处理,有效清除“壳病毒”。
4、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算机,完全保护计算机系统安全。
5、禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。 6、使用U盘进行数据文件存储和拷贝时,打开计算机系统中杀毒软件的“实时监控”功能,避免病毒文件入侵感染。
(责任编辑:董建伟)
