江民反病毒专家介绍,该病毒是一个远程控制后门程序,和“灰鸽子”的功能十分相似。中毒后电脑会变成网络僵尸,骇客可以远程任意控制被感染的计算机,还可以窃取用户计算机里所有的机密信息资料。
病毒运行后,在“C:\WINDOWS”目录下生成病毒文件nod32.exe,文件属性设置为:只读、系统隐藏、存档。病毒在后台调用系统“C:\windows\system32\svchost.exe”进程,把恶意可执行代码都注入到该进程中,然后调用执行。病毒通过此举隐藏自身,使普通用户很难发觉。病毒还会使用刚刚调用起来的系统“svchost.exe”进程把病毒程序“C:\WINDOWS\nod32.exe”文件以独占的方式打开,在不关闭“svchost.exe”进程的情况下,用户根本无法手工删除病毒主程序。
让江民反病毒专家疑惑的是,假“百度HI”病毒在内存放一些IP地址数据,分析显示该IP地址来自美国,但无从知晓该IP地址的具体用途。
分析还显示,病毒运行后通过一个位于广东省东莞市的IP地址实现通讯,通讯端口为OICQ Server[8000],病毒运行后,会将自身安装程序删除,这样除了注入到svchost.exe内的可执行代码之外,系统内没有任何该病毒的文件。
针对该病毒,江民杀毒软件KV2008已即时升级,用户只需正常升级最新病毒库,即可有效防杀该病毒。没有安装江民杀毒软件的用户,可以下载安装江民假“百度HI”病毒专杀工具,免费对电脑进行全面查杀。
本文来源:中国网管学院 作者:佚名