“多功能鸽子47200”木马专杀
病毒介绍:
病毒名称:Win32.Hack.Huigezi2007.47200
中文名称:多功能鸽子47200
威胁级别:★★★☆☆
病毒类型:木马程序
病毒长度:43096字节
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒运行原理:
“多功能鸽子47200”(Win32.Hack.Huigezi2007.47200),这是一个类似于灰鸽子的黑客程序.它会在用户系统中释放出多个文件,记录并发送用户系统信息到病毒作者指定的远程服务器,然后下载更新文件.
病毒具体进程介绍:
这个病毒文件是一个类似灰鸽子那样的黑客木马.它的相关变种近日突然增多,反病毒工程师认为这是病毒制作集团使用病毒生成器疯狂生产的结果.此木马和它的变种们的主要目的是记录用户系统的一些关键数据,并把他们发送到病毒作者指定的地址.如果黑客掌握了这些数据,将可能对用户系统的安全构成威胁.
首先病毒将自己的文件释放到系统盘中,在磁盘中释放出以下文件:
C:\WINDOWS\uninstall\
C:\WINDOWS\uninstall\rundl132.exe
C:\sample.exe.exe
C:\WINDOWS\Logo1_.exe
C:\WINDOWS\TEMP\$$a0199.tmp
C:\WINDOWS\TEMP\$$a0199.bat
在磁盘中删除了以下文件:
c:\sample.exe.exe
C:\WINDOWS\TEMP\$$a0199.bat
“c:\sample.exe”
“C:\WINDOWS\TEMP\$$a0199.bat”
然后就在系统中建立配置文件,实现自启动.
在磁盘中创建以下配置文件:
C:\WINDOWS\Win.ini [windows] “run” “C:\WINDOWS\SYSTEM32\HgzServer.exe”
C:\WINDOWS\Win.ini [] “” “”
如果实现了运行,它就悄悄连接病毒作者指定的地址,上传用户电脑的一些系统信息.
在系统中创建了以下进程:
病毒会枚举系统进程,可能会对一些安全进程进行关闭操作
“net.EXE”
“CMD.EXE”
“Logo1_.exe”
并下载更新文件,达到自动更新之目的.另外,反病毒工程师们发现,该毒可以根据病毒作者的指令,变成下载器,下载更多的木马到用户电脑中运行.运行完毕,就删除自己的原始文件和释放出的文件,让用户即便明白中毒也难以查找元凶.
反病毒工程师预计,这类多功能型的黑客木马仍将是最近一段时间内的木马群主要类型,请没有安装金山毒霸2008的用户注意防范.如果已安装毒霸,则不必担心,及时升级毒霸病毒库就可以了.
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站.
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.
更多资讯请登陆金山毒霸官方网站查询:www.kingsoft2008.net.cn
专杀下载
