“木头鸽子163840”木马专杀
病毒介绍:
病毒名称:木头鸽子163840
病毒中文:Win32.Troj.BhoT.ly.163840
威胁级别:★★☆☆
病毒类型:木马程序
病毒长度:163840
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这个远程木马和它的变种近来大量出现.许多毒霸用户反映,金山毒霸在他们的电脑上频繁拦截到这些木马的入侵.
毒霸反病毒工程师认为,这是病毒犯罪团伙人为的广泛传播此木马所致.病毒运行原理如下:
首先,病毒的原理并不复杂,进入系统后,它在系统盘中释放出一些病毒文件,在磁盘中释放出以下文件:
C:\WINDOWS\uninstall\
C:\WINDOWS\uninstall\rundl132.exe
C:\sample.exe.exe
C:\WINDOWS\Logo1_.exe
C:\WINDOWS\TEMP\$$a0199.tmp
C:\WINDOWS\TEMP\$$a0199.bat
病毒将以上文件写入系统注册表,在磁盘中删除了以下文件:
c:\sample.exe.exe
C:\WINDOWS\TEMP\$$a0199.bat
“c:\sample.exe”
“C:\WINDOWS\TEMP\$$a0199.bat”
实现开机自启动,接着就在后台悄悄连接病毒作者指定的远程服务器,
病毒会连接作者指定的网址:
病毒会从指定的网址下载文件至本地计算机 C:\DNT_Temp\list.dnt
在磁盘中创建以下配置文件:
C:\WINDOWS\Win.ini [windows] “run” “C:\WINDOWS\SYSTEM32\HgzServer.exe”
C:\WINDOWS\Win.ini [] “” “”下载更新文件,让自己升级到最新版本.同时,它会等待病毒作者(黑客)的下一步指令.根据指令的不同,在系统中创建了以下进程:
病毒尝试枚举系统进程,可能会对一些安全进程进行关闭操作
“net.EXE”
“CMD.EXE”
“Logo1_.exe”
它能在中毒电脑中执行非法控制、盗取机密信息等各种行为,造成无法估计的损失.
这是一个类似灰鸽子的木马程序.它会在磁盘中释放出文件,然后连接到指定的远程地址,更新自己,并等待黑客的下一步指令.
病毒删除:
要想删除这个木马病毒其实很简单,下载最新的金山毒霸2008,已由毒霸的用户可以升级到最新病毒库就可以对这个病毒进行查杀了!
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站.
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.
更多资讯请登陆金山毒霸官方网站查询:www.kingsoft2008.net.cn
专杀下载
