华军电脑病毒播报：警惕梅勒斯变种

　　华军资讯提醒您：最近出现几种新的电脑病毒，危害网民，值得大家高度重视，华军总结了几家病毒软件发布的最新病毒播报，希望大家加强防范，注意安全：

　　金山：

　　一、“鸽子监视器297573”(Win32.Troj.huigezi.297573) 威胁级别：★

　　此远程木马的原理比较简单，与大多数常见的远程木马无异。

　　病毒母体进入电脑后，释放自己的子文件Mole.dll、Mole.ini、Mole.Mol到系统盘的%WINDOWS%目录下，其中Mole.Mol是病毒自身的备份。同时，还有一个名为system.exe的病毒副本被释放到%Program Files%\Outlook Express\目录中。病毒会将它写入注册表启动项，实现开机自启动，其显示名称为Windows Luck，提示信息为“提供网络访问服务”。

　　当顺利运行起来，病毒就在后台悄悄调用IE浏览器的进程，将自己之前释放出的Mole.dll加载进去，实现隐蔽运行。随后，它获取当前计算机的名称，读取Mole.ini配置文件，得到端口号，尝试创建线程与病毒作者指定的远程控制端dai**bin.3**2.org联系。

　　如果成功建立联系，那么病毒就会等待黑客指令，借助此毒的帮助，黑客可以执行查看被控制端的桌面、对桌面进行鼠标和键盘操作，以及修改病毒配置文件内容等操作。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-huigezi-297573-50885.html

　　二、“对抗型问道盗号器98494”(Win32.Troj.KillAV.c.98494) 威胁级别：★

　　这个盗号木马具有对抗杀软的能力。通过对病毒代码的分析，毒霸反病毒工程师认为病毒作者可能有借鉴AV终结者的部分对抗技术。主要做法是进入用户系统后，监视杀毒软件的行为，如果它发现自己被杀毒软件扫描到，就会尝试将杀毒软件的扫描窗口强行关闭——这其实是种水平不咋样的对抗方式。

　　当解决掉杀毒软件后，该毒就开始盗号，它这部分的行为不复杂。首先是释放自己的dll文件到%Windows%\system32\目录下，名称采取“原始文件名+dw.Dll”的形式，例如原病毒名为张三.exe，则生成dll为“张三dw.Dll”。

　　随后，它会检查进程，发现《问道》的进程，则结束掉，等待用户再次登录时，就趁机记录用户输入的账号和密码。此外，病毒会获取用户的游戏配置文件中的角色等级、虚拟金币、银币等信息，将它们与帐号密码一起发送到病毒作者指定的远程地址。

　　点击下载金山软件

　　瑞星：

　　“梅勒斯变种AAC(RootKit.Win32.Mnless.aac)”病毒：警惕程度★★★，Rootkit，通过与其它木马结合的方式传播，依赖系统：Windows NT/2000/XP/2003。

　　这是个Rootkit病毒驱动，通常与其它盗号木马病毒结合传播。该病毒通过挂接键盘设备驱动获取用户键盘输入的信息，侵入电脑后，用户输入的密码、账号等信息都可能被该病毒窃取，记录下来后发送给病毒制造者，从而给用户带来不小的损失。

　　点击下载瑞星软件

　　江民：

　　病毒名称：TrojanDownloader.Small.aepc

　　中 文 名：“小不点”变种aepc

　　病毒长度：9728字节

　　病毒类型：木马下载器

　　危害等级：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanDownloader.Small.aepc“小不点”变种aepc是“小不点”木马下载器家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“小不点”变种aepc是由某个木马释放出来的DLL组件，一般被注册为系统服务，实现木马开机自动运行。“小不点”变种aepc运行后，在被感染计算机系统指定目录下释放恶意驱动程序并加载运行，恶意驱动程序可以还原系统SSDT，致使某些安全软件的监控功能失效。启动“iexplore.exe”进程，并将恶意代码注入其中运行，这样可以隐藏病毒程序，躲避安全软件的查杀。查找并强行关闭某些安全软件，通过映像劫持禁止大量安全软件的运行，极大地降低了被感染计算机系统的安全性。搜索被感染计算机上*.htm、*.asp、*.php、*.aspx的文件，利用这些文件进行网页挂马。连接骇客指定的服务器站点，下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

 

　　病毒名称：TrojanSpy.Banker.iby

　　中 文 名：“网银窃贼”变种iby

　　病毒长度：2007552字节

　　病毒类型：间谍类木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanSpy.Banker.iby“网银窃贼”变种iby是“网银窃贼”木马家族的最新成员之一，采用Delphi编写，并经过添加保护壳处理。“网银窃贼”变种iby运行后，将自身的文件属性设置为“系统、隐藏”。将自身添加为启动项，实现木马开机自动运行。在被感染计算机系统后台秘密监视用户打开的窗口标题，监视用户的键盘和鼠标操作，一旦发现用户打开指定的网络银行页面时，很可能会显示虚假网络银行登陆界面，诱导用户输入自己的账号和密码，窃取用户输入的账号、密码、网站地址等信息，并将窃取到的机密信息记录为文本文件，以邮件的形式发送给骇客，从而达到盗取用户网络银行账号及密码的目的。另外，“网银窃贼”变种iby将自身的图标伪装成网页文件的图标，诱骗用户点击运行。

　　点击下载江民软件

　　卡巴斯基：

　　病毒名称：Trojan-Downloader.Win32.Small.zie(木马下载者变种ZIE)

　　文件大小：27497字节

　　病毒类型：木马

　　危害等级：★★★★★

　　影响的平台：WIN9X/ME/NT/2000/XP/2003

　　病毒表现(X代表任意数字与字母的组合)：

　　此病毒运行后在系统根目录下创建多个8位数字组合为名字的隐藏文件夹，主文件存储在其中一个文件夹中，此主文件被运行后它将从指定的网站下载大量的盗号木马文件到系统目录中。

　　点击下载卡巴斯基

　　以上是华军给大家带来病毒播报，希望对大家有帮助。

来源：HNC网络联盟 编辑：花脸道

【投稿】【打印】【关闭】