6.27-7.4感染量上升最快的10大病毒分析及解决方案
爱
毒霸社区提醒您注意,近期肆虐的病毒木马中,排名靠前,对用户产生重大影响的,多数是木马或
木马下载器。
本周,利用flash
漏洞传播的病毒木马明显上升,在google热搜榜上,ORZ.
EXE病毒异军突起,该病毒会破坏多种
杀毒软件,释放木马下载器。由木马下载器再完成其它更多木马和病毒的下载,导致
系统损坏或盗号现象发生。
有关该病毒的更多信息,请参考:
ORZ病毒攻击实例及完整解决方案(毒霸修复工具见3楼)
http://bbs.duba.net/thread-21934256-1-1.html
和另一篇文章:警惕利用FLASH漏洞传播的对抗型“特务病毒”(orz.exe病毒)
http://bbs.duba.net/thread-21935583-1-1.html
对于此类病毒,您需要将磁碟机专杀和清理
专家、毒霸联合使用。当毒霸被破坏不能正常升级时,可以从
http://bbs.duba.net/thread-21934256-1-1.html下载修复工具,以恢复毒霸的升级功能。
如果病毒严重破坏,导致桌面也不能正常登录,请参考下文完成修复
善用清理专家修复顽固病毒(
开机进不了桌面)
http://bbs.duba.net/thread-21931759-1-1.html
论坛的
新手杀毒专区提供了更多对新会员很有价值的帮助信息,建议您阅读这里的帮助文档尝试自助解决。
以下是本周10大病毒列表:
1.Win32.Troj.PcClient.a.688128
毒霸07.11.28.18版本即可查杀。
病毒名称(中文):
黑客遥控器
威胁级别:★☆☆☆☆
病毒类型:黑客
程序
病毒长度:688128
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至 {随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。
(1)病毒释放文件,然后使用DeleteFileA删除自身
%sys32dir%\0004bb58.inf
%sys32dir%\{随机文件名}.dll(如byhfjm.dll)
%sys32dir%\{随机文件名}.KEY(如byhfjm.KEY)
%sys32dir%\{随机文件名}.sco(如byhfjm.sco)
%sys32dir%\drivers\{随机文件名}.sys(如byhfjm.sys)
(2)病毒增加注册项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb
(3)病毒尝试添加一个系统服务rtltvb
服务名:rtltvb
描述:Microsoft .NET Framework TPM
显示名称:rtltvb
映像路径:%sys32dir%\svchost.exe -k rtltvb
启动类型:自动
(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro(如byhfjm.pro)
"Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyEnable 1"
"Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyServer {代理地址}"
(5)病毒尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下
0**205.k**p.net(2**.2*7.17.2*6)
这是一个风险程序,该程序和病毒木马不同,不具备破坏性。查毒日志类似于
引用:
风险程序 2008-02-16 08:54:55 C:\windows\快速关机(Ctrl+Alt+End).exe Win32.RiskWare.Shutdown.c.45056 隔离成功
这也是个风险程序,日志类似于
引用:
风险程序 2007-09-30 09:36:57 C:\Program Files\Freesoft\tools\快速重启.exe Win32.HackTool.RebootOS.16384 隔离成功
这是一个广告软件,
金山毒霸病毒信息库08.06.24.10版本可查杀,本周该广告软件的感染量降到第4位,非常值得关注。
5.Win32.Adware.ADLoad.y.122880
这是一个广告软件,毒霸06.10.27.10版本可以查杀,老病毒重出江湖只能是木马下载器的功劳。
查毒日志类似于
引用:
金山清除不了风险软件Win32.Adware.ADLoad.y.122880
风险程序 2008-02-03 20:16:12 C:\Program Files\WinKld\Winkld.dat Win32.Adware.ADLoad.y.122880 操作失败
可尝试使用金山清理专家百宝箱,文件粉碎器,将这个dat文件彻底删除。
6.Win32.Adware.Agent.663040
这是一个广告软件,未能搜索到该广告软件的相关资料。该广告软件的一个变种Win32.Adware.Agent.LL.24391分析如下:
引用:
病毒名称(中文):网络小广告24391
威胁级别:★☆☆☆☆
病毒类型:广告软件
病毒长度:24391
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:引用:
这是一个广告木马程序。它会在后台擅自利用IE浏览器登录广告网页,浪费用户的网络流量,并损耗系统资源。
1.病毒运行后,首先将自身复制为C:\windows\system32%\autoc0n.exe,将属性设置为隐藏;
2.在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加一个TinTSentp来实现随系统启动,"TinTSentp"=C:\windows\system32\autoc0n.exe;
3.在后台开启IE,访问地址http://www.jl.*****net.com。
这是一个风险程序,毒霸07.05.29.10版本可以清除
引用:
CMDOW.EXE C:\Windows\System32\ 隔离 Win32.RiskWare.HideWindows.31232
这是一个盗号木马,上周该病毒排第9位,本周有所上升。毒霸病毒信息库08.06.14.10版本可查杀。这是木马下载器的产物,通常发现这个病毒的机器上还能发现更多的其它病毒。
查毒日志类似于
引用:
病毒 2008-06-22 15:47:49 C:\windows\system32\mfc40u.dll Worm.Downloader.pu.924432 发现病毒
病毒 2008-06-22 15:47:49 C:\windows\system32\mfc40u.dll Worm.Downloader.pu.924432_Failed 操作失败
病毒 2008-06-22 15:47:42 C:\windows\temp\~f8.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f7.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f6.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f5.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f4.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f3.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f2.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f1.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
在这样的电脑上,金山清理专家可发现若干
恶意软件被安装
引用:
信息 2008-06-22 15:45:11 发现恶意软件:恶意软件残留的注册表项
信息 2008-06-22 15:45:11 发现恶意软件:恶意执行挂钩
信息 2008-06-22 15:45:11 发现恶意软件:严重漏洞(Adobe flash player)
信息 2008-06-22 15:45:11 发现恶意软件:logogo(Troj.AgentT.ge)
信息 2008-06-22 15:45:11 发现恶意软件:未知的AppInit_Dll
信息 2008-06-22 15:45:11 发现恶意软件:未知的ShellExecuteHooks
信息 2008-06-22 15:45:11 发现恶意软件:被感染的lsass.exe
信息 2008-06-22 15:45:11 发现恶意软件:PopWinIe_B(Troj)
信息 2008-06-22 15:45:11 发现恶意软件:nod32ui(Worm)
信息 2008-06-22 15:45:11 发现恶意软件:xuedfvs(Troj)
信息 2008-06-22 15:45:11 发现恶意软件:AV 终结者(Troj)
信息 2008-06-22 15:45:11 发现恶意软件:OSO蠕虫
应该将金山清理专家和磁碟机专杀以及毒霸主程序查杀相结合来清除这些病毒。
9.Win32.PSWTroj.OnLineGames.122880
这是一个盗号木马,毒霸07.10.26.10版本可以查杀。
感染日志类似于
引用:
病毒 2007-11-25 13:05:37 发现病毒在文件C:\WINDOWS\system32\usrinit.exe中 Worm.Downloader.au.81920 处理成功(操作:删除)
病毒 2007-11-25 13:05:01 发现病毒在文件C:\Program Files\conime0.exe中 Win32.PSWTroj.OnLineGames.122880 处理成功(操作:删除)
病毒 2007-11-25 13:04:55 发现病毒在文件C:\WINDOWS\136588WO.DLL中 Win32.Troj.OnlineGamesT.xy.49958 处理成功(操作:删除)
病毒 2007-11-25 13:04:55 发现病毒在文件C:\WINDOWS\136588M.exe中 Win32.Troj.OnlineGames.ie.22228 处理成功(操作:删除)
这是一个广告软件,
金山毒霸08.03.26.10版本可以查杀
针对流行病毒的解决方案:
请参考以下内容,感染的病毒现象可能稍有不同,但处理的思路大同小异,请读者从中找到处理病毒的规律:
http://bbs.duba.net/thread-21902724-1-1.html
http://bbs.duba.net/thread-21896365-1-1.html
有关此类病毒的预防
参考“狗犬不惊”之防狗秘笈(
http://bbs.duba.net/thread-21893089-1-1.html)
暑期长假即将到来,不少学生朋友假期可能会有较多的
时间花在网络游戏上,在防止沉迷
游戏的同时,需要重视网游帐号安全,有关信息请参考:
网游帐号是怎样被盗的(
http://bbs.duba.net/thread-21946666-1-1.html)
通用的防盗号方案(
http://bbs.duba.net/thread-21946950-1-1.html)
各显神通的防盗号系统(
http://bbs.duba.net/thread-21947091-1-1.html)
帐号被盗之后,怎么办?(
http://bbs.duba.net/thread-21947431-1-1.html)
