金山毒霸每日病毒预警
“远程控制下载器367616”(Win32.Hack.sdbot),这是一个多功能的远程木马。它会非法获取操作权限,帮助黑客监视和控制用户
系统,并
下载其它
木马到用户
电脑中运行。
“广告更新模块226304”(Win32.Adware.Ejik.jg.226304),这是某广告木马的组成模块。它负责下载最新的配置
文件数据,病毒母体可以根据这些数据,弹出相应的广告页面。
一、“远程控制下载器367616”(Win32.Hack.sdbot)威胁级别:★★
这个木马的主要威胁表现在,它能够连接远程
服务器,发送用户系统信息,帮助黑客控制用户电脑。
病毒文件schrars.
exe会被释放到%
WINDOWS%\system\中,并被写入注册表启动项,以服务的方式实现
开机自启动。服务名为RasAuto,习惯手动查杀的用户可对此留意。
当启动成功,木马就获取用户权限,解密自身数据,获得病毒作者指定的黑客远程
地址,将用户电脑的系统版本、计算机名、
内存大小、病毒自身版本等信息,加密后发送过去,然后,就等待黑客服务器发回指令。根据指令,木马可以执行任何黑客想要的操作。
此外,此木马还具有下载器功能。它会从指定的地址,下载其它木马
程序,从而给用户带来更多
麻烦和损失。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-hack-sdbot-50857.html
二、“广告更新模块226304”(Win32.Adware.Ejik.jg.226304)威胁级别:★
该病毒是某广告木马程序的组成模块。它是一个
DLL文件,通过自身释放的配置信息找到母体calc.exe,该母体可能隐藏在系统盘%WINDOWS%%\system32\目录下。
木马母体会释放出另一些DLL文件,并将自己添加到注册表,注册为IE浏览器的插件,以便能随着IE启动而运行。如果顺利运行,母体就利用该DLL访问
网络,获取升级数据,写入additionalcon.ini配置文件。在配置文件中,毒霸反病毒工程师发现了一些主流安全软件的官方网址,木马会屏蔽这些网址,阻止用户向安全
软件厂商求援。
最后,木马弹出广告网页,迫使用户浏览。在它发作期间,有个明显症状,就是会莫名其妙地弹出calc.exe(计算器程序)。如果用户发现自己的计算器程序自动弹了出来,那很可能就是中了此毒广告木马。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-adware-ejik-jg-226304-50858.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天
工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年8月8的病毒库即可查杀以上病毒;如未安装
金山毒霸,可以登录
http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸
在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒
专家将为您提供帮助。
