|
|
 | |  |
| 病毒专杀工具下载 |
|
|
|
|
| |
|
| 金山反病毒气象(9月22日至9月28日) |
金山反病毒应急中心本周进行升级包的更新,请用户尽快到金山毒霸网站 duba.net 下载升级包,以下是几个重要病毒的简介:
本周重点关注病毒:
恶意木马:“狩猎者”新变种(Troj.qqmsghao114 Troj.PopWeb) ★★★ 传播方式:利用IE漏洞自动下载安装
利用QQ自动发送消息,骗取QQ上的网友点击消息中的网址。拥有该网址的网页内嵌该木马。当没有打上IE的IFrame漏洞补丁的系统就会自动下载该木马并立即运行。此次变种可能有自动更新的功能,并会下载另一个木马“Troj.PopWeb”。木马“Troj.PopWeb”会随机打开程序设定的网址,通常,都是一些网站的广告网址,其中会包含色情、违禁网站的广告。两种木马的同时工作,严重骚扰正常的网络使用,而且会大量浪费系统和网络资源。“狩猎者”最新变种的改进,更说明了其潜在的危险性,试想,如果被自动下载的木马是一个网游帐号盗取木马,那么使用该系统的人就会造受经济损失了,所以查杀和防止此类病毒是迫在眉捷了。该木马安装到系统后的特点:
1. Troj.QQmsghao114木马会修改IE的默认主页为 http://ww.hao114.com/home.htm ,并在用户准备发送的QQ消息时, 自动将其网站的链接( hao114.com )加到消息中发送出去,Troj.PopWeb木马会定时弹出一些网页。
2. Troj.QQmsghao114木马自我复制到系统目录,文件名为HEIBAI.exe。Troj.PopWeb木马会被下载或是自我复制到系统目录,文件名为QUpdate.exe,该木马会在Win.ini中加两个节:AutoTime和NextOpen,这两个节会指定其弹出网页的时间。
3.添加注册表的健值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加如下键值:
"HEIBAI.exe"="%system%\HEIBAI.exe" (Troj.QQmsghao114添加)
"load"="%system%\QUpdate.exe" (Troj.PopWeb.b添加)
手工清除方法:对于该木马最好的防御方法是打上IE的IFrame漏洞补丁,请使用
Windows 自带的“Windows Update”程序进行更新,建议升级IE浏览器的版本到6.0。如果不幸感染了该木马,请使用进程管理器结束名为“HEIBAI.exe QUpdate”的进程,并到系统目录下搜索和删除这此文件。最后,删除注册表中的以下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"HEIBAI.exe"="%system%\HEIBAI.exe"
"load"="%system%\QUpdate.exe"
注意:这类木马出自各个不良网站之手,会出现大量的变种,变化基本以进程名不同、文件名不同、注册表键值不同、打开的网址不同。所以,应该多留意那些名字奇怪的进程和注册表键值。最后,再次提醒,一定要打上IE的IFRAME漏洞补丁,既可免除此类病毒的危害,特别是对新装机的用户们。
蠕虫病毒:“偷窥者”新变种(Worm.Randex.g) ★★★ 传播方式:网络共享方式传播
该蠕虫病毒破解远端系统管理员帐号的弱密码,然后开启被攻击系统的网络共享,通过
以下方式拷贝自已到被攻击的系统:
\\<被攻击系统的IP\Admin$\system32\NETFD32.EXE
\\<被攻击系统的IP\c$\winnt\system32\NETFD32.EXE
拷贝成功后,会远程启动病毒程序NETFD32.exe。
该蠕虫病毒在局域网内传播迅速,局域网用户请注意共同防毒。以下是该病毒的特点:
1、自我复制到系统目录,文件名为:PH32.exe
2、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Winux Piriax Service" = PH32.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"Winux Piriax Service" = PH32.EXE
3、利用IRC软件开启后门,等待远端控制者的命令。
手工清除方法:断开网络,防止后门程序起作用;使用进程管理器结束名为“PH32.exe NETFD32.exe”的进程;进入系统目录(%system%)删除文件“PH32.exe NETFD32.exe”;最后清除以上描述的注册表添加的键值。
使用此方法,可能会造成谋些应用程序不可使用,需要一定的专业知识,建议普通用户使用最新病毒库的金山毒霸进行查杀。
专家提醒:
1、请及时升级您的毒霸到最新。因为病毒随时在产生,金山毒霸的病毒库也会随时升级中,请多关注金山毒霸安全咨询网(duba.net)上的最新病毒公告,或者订阅金山毒霸的“病毒短信”,为您提供最新最快的病毒信息和毒霸的升级信息;
2、打开网络和病毒防火墙,为您的系统打上微软的最新补丁。杀病毒不如防病毒,只要防止住病毒进入的通道,就可彻底免除病毒带来的危害;
3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播,病毒制作者会利用人们好奇的心理来骗取自己激活的机会,如前段时间的“911”蠕虫病毒,就是利用人们对“911”事件的关注心态,来骗取用户打开邮件,从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权;
4、掌握一些相关的系统操作知识,这样可以方便、及时的发现新病毒。
如发现可疑文件,请email至: virus@kingsoft.net
数据修复急救,请登陆: http://support.kingsoft.net
|
|
