“扫荡波”(Worm.SaodangBo.a.94208),这是一个利用MS08-067漏洞发动攻击的蠕虫下载器,它会将另外一些下载器和盗号木马下载到用户电脑中。该毒的攻击能力非常强,只要系统未打补丁,受攻击的电脑即使运气好“免遭毒手”,也会出现系统进程崩溃事件,导致无法上网。
“远程控制器1032192”(Win32.VirInstaller.Agent.1032192),这是一个远程控制木马。它会将用户电脑系统与黑客远程服务器连接
一、“扫荡波”(Worm.SaodangBo.a.94208) 威胁级别:★★★
微软MS08-067漏洞公布之后,利用该漏洞发动攻击的恶意程序大量涌现。昨日被毒霸反病毒工程师捕获的“扫荡波”就是其中威胁最大的一个。
它利用网页挂马进行传播,病毒进入电脑后,立即对局域网内所有电脑进行扫描,只要发现它们未打MS08-067漏洞的补丁,就立即将其攻陷,往里面下载自己的最新版本和大量的其它恶意程序,主要是各类下载器和盗号木马。
如果对网内电脑的攻击失败,这些电脑上则会出现svchost.exe出错的提示,说“svchost.exe中发生未处理的win32异常”,同时网络连接中断。用户要是发现自己的电脑中出现此情况,就说明您电脑所处的局域网内有机器中毒。这时候,您的电脑并没有中毒,但千万不可以有侥幸心理,应该立即打上MS08-067补丁,因为该毒的攻击不会仅仅一次,而且随着病毒作者对它进行升级,它会拥有更强的攻击力。
该毒共含有四个子文件,分别是aaa.bat、mrosconfig.exe、vista.exe、qqq.sys。进入系统后,它首先调用vista.exe对本网段(C类)范围内的所有计算机的445端口进行扫描。之后,挑选出可以连上445端口的计算机保存到一个列表文件中。然后,再调用mrosconfig.exe对列表文件中的计算机发送RPC请求,使远程计算机中的svchost.exe中解析RPC路径时溢出,在远程计算机中下载一个名为ko.exe的文件并执行。
ko.exe文件是另一个下载器,它会下载更多的其它恶意程序安装到被攻击的计算机上。目前毒霸反病毒工程师在其下载清单中已发现机器狗木马和针对《QQ三国》、《完美世界》等网游的盗号木马。
二、“远程控制器1032192”(Win32.VirInstaller.Agent.1032192) 威胁级别:★
这个远程木马的行为比较简单,它释放完文件、添加注册表启动项后,就会在后台启动IE浏览器,连接病毒作者指定的远程黑客服务器。
该毒的文件sea0999.tmp会被释放到系统临时目录%WINDOWS%\TEMP\下,如果能顺利运行,它就会开启端口31801,生成后门。它所连接的黑客服务器为 udp.hj**123.com,经毒霸反病毒工程师检查已失效。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
本文来源:塞迪网 作者:佚名