病毒预警12.31"MSN跳虫55808"木马程序
新客网 XKER.COM 2007-12-30 来源:新客网搜集整理 佚名 收藏本文
“MSN跳虫55808”(Win32.TrojDownloader.MSNBot.m.55808),这是一个通过MSN聊天工具进行传播的木马程序。病毒会从指定网址下载木马程序,并将下载的木马通过MSN来进行传播。它还具有自删除的功能。
“IE小广告33280”(Win32.TrojDownloader.Zlob.33280),这是一个广告软件。该程序运行后,会添加名为“IE Anti-Spyware”的IE菜单项,并在未经允许的情况下更改用户的IE搜索引擎设置,把用户引导到木马作者指定的网站。
一、“MSN跳虫55808”(Win32.TrojDownloader.MSNBot.m.55808) 威胁级别:★
病毒进入系统后,在%WINDOWS%\system32\下释放出病毒文件rmbsvc.exe,同时还在%WINDOWS%\temp\目录下释放出一个随机命名的.exe病毒文件。然后,它修改注册表启动项,实现随系统自启动之目的。完成此步骤后,病毒就删除原始文件,避免被用户发现。
病毒如果顺利运行起来,会检查与MSN相关的窗口信息,如果找到,它就悄悄建立远程连接,向p**l.hy**id*x.com这一由木马作者指定的服务器发送系统当前用户的信息,如用户名、系统版本号等。服务器受到中毒用户的信息后,会根据用户的系统配置,向病毒反馈下载指令信息。
新的病毒被下载后,首先会被暂存到%WINDOWS%\temp\目录,随后被打包进一个随机命名的.zip压缩包中。然后,病毒会向用户MSN好友名单中的好友发送这个含毒压缩包,以扩大自己的传染范围。
二、“IE小广告33280”(Win32.TrojDownloader.Zlob.33280) 威胁级别:★
病毒进入系统后,立即在病毒所在的目录生成生成isfmdl.dll和isfmm.exe,然后修改注册表,在里面添加名为“start”的启动项。这样,系统启动时,病毒就能跟着自动运行起来。
病毒会注册为浏览器帮助插件,以便在系统启动或运行IE时自动加载isfmdl.dll,而为了迷惑用户,它伪装为名为“IE Anti-Spyware”的安全软件,还装模作样地在IE“工具”菜单中添加一个名为IE Anti-Spyware的菜单项。
接着,病毒更改IE浏览器 默认的搜索引擎,将其设置为“http://www.s**rc***ghere.net/index.php?b=1&t=0&q=”这个由木马作者指定的地址,还把IE首页修改为另一个由木马作者指定的地址http:/**s40**age.com。只要用户打开IE,就会被自动引导到该网站,浏览广告信息,为该网站“贡献”流量。
为防止用户删除,病毒会采取强行安装的流氓做法,它把自己加载到资源管理器中,并进行自保护,使得用户不容易删除它。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2007年12月31的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
“IE小广告33280”(Win32.TrojDownloader.Zlob.33280),这是一个广告软件。该程序运行后,会添加名为“IE Anti-Spyware”的IE菜单项,并在未经允许的情况下更改用户的IE搜索引擎设置,把用户引导到木马作者指定的网站。
一、“MSN跳虫55808”(Win32.TrojDownloader.MSNBot.m.55808) 威胁级别:★
病毒进入系统后,在%WINDOWS%\system32\下释放出病毒文件rmbsvc.exe,同时还在%WINDOWS%\temp\目录下释放出一个随机命名的.exe病毒文件。然后,它修改注册表启动项,实现随系统自启动之目的。完成此步骤后,病毒就删除原始文件,避免被用户发现。
病毒如果顺利运行起来,会检查与MSN相关的窗口信息,如果找到,它就悄悄建立远程连接,向p**l.hy**id*x.com这一由木马作者指定的服务器发送系统当前用户的信息,如用户名、系统版本号等。服务器受到中毒用户的信息后,会根据用户的系统配置,向病毒反馈下载指令信息。
新的病毒被下载后,首先会被暂存到%WINDOWS%\temp\目录,随后被打包进一个随机命名的.zip压缩包中。然后,病毒会向用户MSN好友名单中的好友发送这个含毒压缩包,以扩大自己的传染范围。
二、“IE小广告33280”(Win32.TrojDownloader.Zlob.33280) 威胁级别:★
病毒进入系统后,立即在病毒所在的目录生成生成isfmdl.dll和isfmm.exe,然后修改注册表,在里面添加名为“start”的启动项。这样,系统启动时,病毒就能跟着自动运行起来。
病毒会注册为浏览器帮助插件,以便在系统启动或运行IE时自动加载isfmdl.dll,而为了迷惑用户,它伪装为名为“IE Anti-Spyware”的安全软件,还装模作样地在IE“工具”菜单中添加一个名为IE Anti-Spyware的菜单项。
接着,病毒更改IE浏览器 默认的搜索引擎,将其设置为“http://www.s**rc***ghere.net/index.php?b=1&t=0&q=”这个由木马作者指定的地址,还把IE首页修改为另一个由木马作者指定的地址http:/**s40**age.com。只要用户打开IE,就会被自动引导到该网站,浏览广告信息,为该网站“贡献”流量。
为防止用户删除,病毒会采取强行安装的流氓做法,它把自己加载到资源管理器中,并进行自保护,使得用户不容易删除它。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2007年12月31的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
上一篇:MSN重申六大安全准则:聊天病毒肆虐 下一篇:闪屏感染者感染exe文件令其失效
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
- 看看Windows狂热爱好者盖的房子
- 06.11—06.17病毒预报
- 小心WEB狮木马窃取WEB服务器网络空间信息
- 雅虎、Trillian遭遇IM漏洞攻击补丁未知
- Sophos Anti-Virus ZIP文档处理跨站脚本漏洞
- Windows NAT帮助远程拒绝服务漏洞
- Windows MSN Messenger将强行进行安全升级
- Agent ActiveX控件存在畸形URL栈溢出漏洞
- 2007十大Web安全漏洞跨站脚本攻击居首位
- photos.zip病毒通过MSN疯狂传播 切勿下载
- “AUTO病毒”岁末将大肆攻击操作系统
- 微软修补被破解DRM保护体系!
- 雅虎通成钓鱼攻击帮凶 黑客利用其传播
- QuickBooks ActiveX控件存在远程安全漏洞
- 黑客攻击新浪案告破 两黑客已经落网
实用信息推荐