7.11毒报:PE感染控制器会远程控制

新客网 XKER.COM 2008-07-11 来源：金山软件 收藏本文

　　“灰鸽子变种1077248”（Win32.Hack.Huigezi.1077248），这是一个远程木马程序。该病毒运行后创建注册表系统驱动服务，实现自启动，帮助黑客非法控制用户电脑。

　　“PE感染控制器1436”（PE.parite.d.1436），这是一个由高级语言编写的感染型病毒。它利用感染正常的exe文件来实现传播，如成功运行，则会释放出另一个木马文件。

　　一、“灰鸽子变种1077248”（Win32.Hack.Huigezi.1077248） 威胁级别：★

　　此毒是灰鸽子木马家族的一个变种成员。它进入系统后，在%WINDOWS%目录下生成隐藏属性的病毒文件Hacker.com.cn.exe 。该文件一旦被释放出来，就会立即搜寻并修改系统注册表的启动项，创建注册表系统驱动服务或注册表RUN项，实现自启动。

　　当用户再次启动电脑后，病毒就开始运行，它在后台悄悄连接病毒作者指定的远程服务器，向种植木马的人（黑客）报告自己所处电脑的地址和系统信息，并等待黑客发送指令。

　　由于病毒会取得系统的最高权限，黑客将可以利用它来对电脑进行任何想要的控制，包括文件的读写复制、服务的创建与删除、网络连接与中断等。从而造成用户电脑中的数据被盗，或者电脑沦为肉鸡。

　　二、“PE感染控制器1436”（PE.parite.d.1436） 威胁级别：★

　　这个病毒只要进入未被它入侵过的电脑中，就会搜索所有的exe文件，对它们进行感染。它在被感染文件最后节后添加新节，修改被感染文件入口点至新节开始。这样，当用户运行正常文件时，它就能抢先运行起来。

　　病毒首先会解密病毒代码，它对自己的部分代码使用了变形技术，这部分代码在每次感染时会变换代码形式，看得出，它试图躲避杀软查杀。

　　该毒运行起来后，会释放出另一个病毒Win32.Parite.c.471040。这个病毒是个远程木马程序，它会注入系统桌面进程explorer.exe执行自己的病毒代码，达到隐蔽运行的效果。如果Win32.Parite.c.471040成功运行，就可能造成用户电脑被黑客控制。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

• ·奥运将近 上网须防赛事图片等病毒传播途径
• ·7.11毒报:PE感染控制器会远程控制
• ·病毒播报：“硬盘魔鬼”破坏硬盘分区表
• ·魔兽窃取网游信息 初始页篡改注册表
• ·微软7月安全补丁 Word存在安全漏洞
• ·解除疑惑 企业信息安全要靠什么
• ·7.9毒报：结网下载器下载盗号木马
• ·DNS惊爆漏洞 可导致黑客控制网络
• ·2008年07.07—07.13病毒预报
• ·2008年06.28—07.04病毒周报
• ·驱逐舰7月份第一周新病毒报告
• ·网络账号防盗手册：魔兽账号保护方案
• ·7.4毒报:劫持者下载器破坏杀毒软件
• ·黑客网上卖病毒 欲饿死杀毒软件商