8.10-8.16感染量上升最快的10大病毒分析及解决方案
爱
毒霸社区提醒您注意,近期肆虐的病毒木马中,排名靠前,对用户产生重大影响的,多数是木马或
木马下载器。
本周,利用
flash漏洞传播的病毒木马明显上升,在google热搜榜上,ORZ.
EXE病毒异军突起,该病毒会破坏多种杀毒
软件,释放木马下载器。由木马下载器再完成其它更多木马和病毒的下载,导致
系统损坏或盗号现象发生。
有关该病毒的更多信息,请参考:
ORZ病毒攻击实例及完整解决方案(毒霸修复工具见3楼)
和另一篇文章:
警惕利用FLASH漏洞传播的对抗型“特务病毒”(orz.exe病毒)
另外8月份
微软发布了有史一来补丁最多的一次更新,请访问
http://bbs.duba.net/thread-21963627-1-1.html,了解这些漏洞和下载修复补丁。
对于众多盗号类病毒,您需要将磁碟机专杀和清理
专家、毒霸联合使用。当毒霸被破坏不能正常升级时,可以从
http://bbs.duba.net/thread-21934256-1-1.html下载修复工具,以恢复毒霸的升级功能。
如果病毒严重破坏,导致桌面也不能正常登录,请参考下文完成修复
善用清理专家修复顽固病毒(开机进不了桌面)
论坛的
新手杀毒专区提供了更多对新会员很有价值的帮助信息,建议您阅读这里的帮助文档尝试自助解决。
以下是本周10大病毒列表:
1.Win32.Troj.PcClient.a.688128
毒霸07.11.28.18版本即可查杀。
病毒名称(中文):黑客遥控器
威胁级别:★☆☆☆☆
病毒类型:黑客
程序
病毒长度:688128
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至 {随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。
(1)病毒释放文件,然后使用DeleteFileA删除自身
%sys32dir%\0004bb58.inf
%sys32dir%\{随机文件名}.dll(如byhfjm.dll)
%sys32dir%\{随机文件名}.KEY(如byhfjm.KEY)
%sys32dir%\{随机文件名}.sco(如byhfjm.sco)
%sys32dir%\drivers\{随机文件名}.sys(如byhfjm.sys)
(2)病毒增加注册项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb
(3)病毒尝试添加一个系统服务rtltvb
服务名:rtltvb
描述:Microsoft .NET Framework TPM
显示名称:rtltvb
映像路径:%sys32dir%\svchost.exe -k rtltvb
启动类型:自动
(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro(如byhfjm.pro)
"Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyEnable 1"
"Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyServer {代理地址}"
(5)病毒尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下
0**205.k**p.net(2**.2*7.17.2*6)
这是一个网游盗号木马,
金山毒霸08.08.17.10版本可以查杀。
病毒程序文件是一个tdffdl.dll或其它dll文件,大小229376 byte,DLL文件可注入系统进程加载。可使用金山清理专家全面诊断功能查找可疑DLL。
3.Win32.RiskWare.HideWindows.31232
这是一个广告软件,属于有风险的程序,类似的感染日志为:感染路径C:\WINDOWS\system32\CMDOW.exe。对于风险程序,缺省情况下毒霸并不会主动清除,因风险程序的
危险性相对较低,可以尝试使用金山清理专家百宝箱的文件粉碎器彻底删除。
4.Win32.RiskWare.Agent.ir.36864
这是一个风险程序,查毒日志类似于
引用:
在C:\Documents and Settinfgs\Administrator\Local Settings\Temp\CmdLineExt02.dll
可以使用金山清理专家百宝箱中的文件粉碎器解决这个DLL文件
5.Win32.Troj.OnLineGamesT.sq.114709
这是一个盗号木马,
金山毒霸08.08.17.10版本可以查杀。
6.Win32.Troj.OnlineGamesT.qp.73876
这是一个盗号木马,毒霸08.02.21.10版本可以查杀
染毒日志类似于
引用:
C:\Documents and Settings\Administrator\Local Settings\Temp\disE29A.tmp\Baidu.exe Win32.Troj.OnlineGamesT.qp.73876
C:\Documents and Settings\Administrator\Local Settings\Temp\disE282.tmp\Baidu.exe Win32.Troj.OnlineGamesT.qp.73876
这是一个广告软件,金山毒霸08.07.14.10版本可以查杀。
广告软件入侵后,客户端自动点击广告,可以为传播者带来广告收益。
8.Win32.PSWTroj.OnLineGames.119222
这是一个盗号木马,金山毒霸08.08.14.10版本可以查杀。
9.Win32.PSWTroj.OnLineGames.119166
这个盗号木马,金山毒霸08.08.12.10版本可以查杀
10.Win32.Troj.OnlineGamesT.pd.222208
这是网游盗号木马,金山毒霸08.07.09.10版本可以查杀。
针对流行病毒的解决方案:
请参考以下内容,感染的病毒现象可能稍有不同,但处理的思路大同小异,请读者从中找到处理病毒的规律:
http://bbs.duba.net/thread-21902724-1-1.html
http://bbs.duba.net/thread-21896365-1-1.html
有关此类病毒的预防
参考“狗犬不惊”之防狗秘笈(
http://bbs.duba.net/thread-21893089-1-1.html)
奥运会期间,可能有病毒假扮成明星图片、奥运相关标志图片、体育比赛相关的视频进行传播,在网上接收类似文件时,应仔细查看文件属性,避免上当。
注意使用金山清理专家
修补系统漏洞,避免因系统漏洞简单浏览网页就导致中毒的现象发生。
对于暑期的网游玩家,请参考以下方案保护帐号安全。
网游帐号是怎样被盗的(
http://bbs.duba.net/thread-21946666-1-1.html)
通用的防盗号方案(
http://bbs.duba.net/thread-21946950-1-1.html)
各显神通的防盗号系统(
http://bbs.duba.net/thread-21947091-1-1.html)
帐号被盗之后,怎么办?(
http://bbs.duba.net/thread-21947431-1-1.html)
