天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

超强“沃忒客”变种病毒:杀安软、删备份、下木马、染U盘

  

  今日华军资讯从江民科技获悉,当前网络上出现了一种名为Win32/Otwycal.j“沃忒客”变种j的病毒,该病毒拥有超强破坏力的“四大罪状”:杀掉安全软件、删除系统备份、下载盗号木马、感染移动U盘,并且还会感染系统中的可执行格式文件,严重地干扰了被感染计算机用户对系统的正常使用,该病毒可以说是“五毒俱全”。接下来我们就详细介绍一下Win32/Otwycal.j“沃忒客”变种j病毒的详细档案和破坏力。 

  一、病毒档案

  Win32/Otwycal.j“沃忒客”变种j是“沃忒客”病毒家族中的最新成员之一,采用“Microsoft Visual C++”编写,并且经过加壳保护处理。“沃忒客”变种j是一个文件感染型病毒,运行后会感染系统中扩展名为“.exe”、“.com”、“.scr”等可执行格式的文件(但不会感染“%SystemRoot%\”及“C:\Program Files”目录下的文件以及“QQ.exe”及“QQDoctor.exe”),由此可能会造成被感染的程序无法正常的运行,严重地干扰了被感染计算机用户对系统的正常使用。同时,还会感染“.htm”、“.asp”和“.xml”等类型的文件。

  以下是该病毒档案:

  英文名称:Win32/Otwycal.j

  中文名称:“沃忒客”变种j

  病毒长度:9032字节

  病毒类型:Windows病毒

  危险级别:★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:476f8ba41f54238ba132dec7b6c0b183

  二、病毒破坏力

  一般来说,普通的病毒木马往往只有一种破坏力,要么专门感染移动存储设备,要么专门盗取帐号密码。而“沃忒客”变种j病毒集各种破坏力于一身:不仅干掉杀毒软件、下载盗号木马,还删掉系统备份文件、感染移动存储设备,给被感染计算机用户造成了巨大的损失和不便。我们详细看一下该病毒的破坏力。 

  1、杀安软

  安全软件是病毒木马的天敌,为了躲避安全软件对自己的追杀,干掉安全软件是最有效的办法。“沃忒客”变种j病毒不仅通过加壳来躲避安软的监测,还自动搜索安软并强行结束其运行。它在被感染计算机的后台遍历当前系统中正在运行的所有进程,一旦发现指定的安全软件存在,便会尝试通过强行篡改系统日期、调用批处理指令等方式试图结束和干扰这些安全软件的正常运行,从而达到了自我保护的目的,提高了病毒自身的生存几率。“沃忒客”变种j会优先感染“%SystemRoot%\system32\”目录下的系统文件“spoolsv.exe”,并将正常文件备份到“%SystemRoot%\Tasks\”目录下重新命名为“SysFile.brk”,以此达到了自身随系统服务“Print Spooler”(打印服务)的启动而自动运行的目的。

  2、删备份

  对于计算机用户来说,中毒后的杀毒不仅耗时耗力,万一系统因此而崩溃,还要重新安装系统,那样需要花费更多的时间精力。因此许多用户喜欢在安装完新系统后用Ghost等备份软件给系统做一个备份,以防万一系统崩溃时直接用GHO备份文件快速恢复系统,这是一种解决病毒感染后遗症的快速有效的办法。但“沃忒客”变种j病毒也盯上了系统备份文件,它会删除扩展名为“.gho”的磁盘镜像备份文件,以此防止被感染计算机用户通过恢复系统的方式摆脱病毒的困扰,增加了病毒的顽固程度。可以说该病毒的这一招让许多用户一筹莫展,只能花时间去重装系统。

  3、下木马

  感染病毒不可怕,可怕的是病毒还要下木马。在感染用户的电脑后,为了增大破坏力,“沃忒客”变种j病毒还会在后台连接骇客指定的远程服务器站点“http://444.er1*.com/”,读取配置文件“config.txt”,根据配置文件中的信息下载其它恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件9 7 3 1 2 4 8 :

本文来源:华军资讯 作者:苏熠渊

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行