“网马连接器49152”木马专杀
病毒介绍:
病毒名称(中文):网马连接器49152
病毒别名: Win32.RiskWare.PEBundle.49152
威胁级别:★★☆☆☆
病毒类型:木马
病毒长度:872687字节
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个远程木马文件。这个远程木马具有一定的伪装性,它会伪装为系统升级进程,将用户的电脑与病毒作者指定的远程服务器连接。它在注册表中增加自己的启动项时,采用的是“Update”这一名称,使得用户会误认为它是系统升级文件。这个远程木马具有一定的伪装性。它在注册表中增加自己的启动项时,采用的是“Update”这一名称,使得用户会误认为它是系统升级文件。病毒进入系统后,会在系统盘根目录下释放出大量文件,主要有stdplugin.dat、hknm.sys、MSSCRIPT.OCX、stdlib.vbs、ad-mymacro.xml等。从这些文件的格式可以明显看出,该毒擅长利用网页挂马进行传播。释放完文件,病毒就在后台悄悄连接远程服务器。经毒霸反病毒工程师检查,该毒本身没有破坏行为,并且在连接到指定服务器gsm****5.go***e.com后,并未有接受控制或执行下载。但是,这种未经用户授权就连接服务器的行为,依然对用户的系统具有威胁。
在磁盘中释放出以下文件:
C:
C:\stdplugin.dat
C:\MSSCRIPT.OCX
C:\stdlib.vbs
C:\hknm.sys
C:\ad-mymacro.xml
C:\WINIO.VXD
C:\WinIo.dll
C:\QMDispatch.dll
C:\helper.dll
C:\cooper.dll
C:\cfgdll.dll
C:\BException.dll
在注册表中创建了以下信息:
“HKCU\Software\CNNIC\CdnClient\Update”
会从以下注册表中读取信息:
“HKLM\SOFTWARE\CNNIC\CdnClient\Update”
病毒会连接作者指定的网址:
域名:”gsm****5.go***e.com” 端口:25 (IP)
在系统中创建了以下进程:
“CMD.EXE”
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站.
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.
更多资讯请登陆金山毒霸官方网站查询:www.kingsoft2008.net.cn
专杀下载
