Backdoor/UltimateDefender.asp“終極騙子”出現(xiàn)
英文名稱:Backdoor/UltimateDefender.asp
中文名稱:“終極騙子”變種asp
病毒長(zhǎng)度:50176字節(jié)
病毒類型:后門
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):03fd09a5e1e9043b3b288c7ba0a6388c
特征描述:
Backdoor/UltimateDefender.asp“終極騙子”變種asp是“終極騙子”后門家族中的最新成員之一,采用高級(jí)語(yǔ)言編寫,經(jīng)過加殼保護(hù)處理。“終極騙子”變種asp運(yùn)行后,會(huì)在被感染系統(tǒng)的“%SystemRoot%\system32\”文件夾下釋放經(jīng)過加殼保護(hù)的惡意程序“braviax.exe”,在“%SystemRoot%\drivers\”、“%SystemRoot%\system32\drivers\”和“%SystemRoot%\system32\dllcache\”文件夾下釋放惡意驅(qū)動(dòng)程序“figaro.sys”和“beep.sys”,同時(shí)會(huì)關(guān)閉系統(tǒng)文件保護(hù)提示,防止在覆蓋系統(tǒng)文件時(shí)被用戶發(fā)現(xiàn)。創(chuàng)建注冊(cè)表項(xiàng)“PC_Antispyware2010”,關(guān)閉系統(tǒng)防火墻、Windows安全中心,同時(shí)修改IE瀏覽器默認(rèn)主頁(yè)、搜索頁(yè)等為“Google”,并在任務(wù)欄右側(cè)托盤區(qū)域彈出“Your computer is infected!”的提示。在未經(jīng)用戶許可的情況下,前往指定的網(wǎng)站“http://poladerfados*ter.com/?wmid=1019&d=3&it=2&s=30”等下載惡意程序。這款名為“PC Antispyware 2010”的虛假殺毒軟件會(huì)假裝掃描計(jì)算機(jī)文件,并向用戶謊報(bào)計(jì)算機(jī)中存在大量的木馬等,如果用戶想通過該軟件清除木馬則需要購(gòu)買授權(quán),從而以這種方式對(duì)用戶進(jìn)行詐騙。另外,“終極騙子”變種asp會(huì)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值“braviax”,以此實(shí)現(xiàn)開機(jī)自動(dòng)運(yùn)行。
英文名稱:Backdoor/Wintu.s
中文名稱:“瘟徒”變種s
病毒長(zhǎng)度:18944字節(jié)
病毒類型:后門
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):3e4295d7756a4cb76a5a116c4b4cd88b
特征描述:
Backdoor/Wintu.s“瘟徒”變種s是“瘟徒”后門家族中的最新成員之一,采用高級(jí)語(yǔ)言編寫,經(jīng)過加殼保護(hù)處理。“瘟徒”變種s運(yùn)行后,會(huì)自我復(fù)制到被感染系統(tǒng)的“C”盤目錄下,重新命名為“l(fā)sass.exe”。關(guān)閉系統(tǒng)防火墻,刪除所有已存在的注冊(cè)表啟動(dòng)項(xiàng),并為原病毒程序及自身副本“l(fā)sass.exe”創(chuàng)建隨機(jī)名稱的啟動(dòng)項(xiàng),以此實(shí)現(xiàn)開機(jī)自啟。不斷生成隨機(jī)的IP地址,并掃描該IP地址所對(duì)應(yīng)系統(tǒng)的3128端口,這可能是為了搜尋可用的代理服務(wù)器并預(yù)謀實(shí)施非法攻擊等目的。
針對(duì)以上病毒,江民反病毒中心建議廣大電腦用戶:
1、請(qǐng)立即升級(jí)江民殺毒軟件,開啟新一代智能分級(jí)高速殺毒引擎及各項(xiàng)監(jiān)控,防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計(jì)算機(jī)。
2、江民KV網(wǎng)絡(luò)版的用戶請(qǐng)及時(shí)升級(jí)控制中心,并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒,保證企業(yè)信息安全。
3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù),能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”、“生僻殼”病毒進(jìn)行脫殼掃描,有效清除“殼病毒”。
4、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能,該功能可對(duì)病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時(shí)間、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動(dòng)干預(yù)、處理,有效地遏制了未知病毒對(duì)系統(tǒng)所造成的干擾和破壞,更大程度提高了計(jì)算機(jī)對(duì)于未知病毒的防范能力。
5、江民防馬墻,能夠第一時(shí)間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁(yè),可以自動(dòng)搜集惡意網(wǎng)址并加入特征庫(kù),阻止了網(wǎng)頁(yè)木馬的傳播,有效地保障了用戶的上網(wǎng)安全。
6、全面開啟BOOTSCAN功能,在系統(tǒng)啟動(dòng)前殺毒,清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。
7、江民殺毒軟件新增強(qiáng)大的啟發(fā)式掃描,能夠啟發(fā)掃描90%以上的未知病毒。
8、江民針對(duì)感染Delphi編譯環(huán)境和應(yīng)用程序的“Delphi侵蝕者”病毒推出了專殺工具,請(qǐng)廣大Delphi開發(fā)人員和網(wǎng)民立即下載并對(duì)系統(tǒng)進(jìn)行掃描,從而避免成為病毒傳播的源頭以及被該病毒所感染。下載地址http://filedown.jiangmin.com/download/JMInducKiller.exe
9、懷疑已中毒的用戶可使用江民免費(fèi)在線查毒進(jìn)行病毒查證。免費(fèi)在線查毒地址:http://online.jiangmin.com/
【編輯推薦】
