最新病毒桌面幽灵的查杀问题
发布网友
发布时间:2022-12-03 00:28
共3个回答
热心网友
时间:2023-11-13 08:33
中 文 名:“桌面幽灵”变种fn
病毒长度:24873字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/Downloader.fn“桌面幽灵”变种fn是“桌面幽灵”蠕虫家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“桌面幽灵”变种fn运行后,自我复制到被感染计算机系统的“%SystemRoot%\\system32\\”目录下,重命名为“c0n1me.exe”。修改注册表,实现蠕虫开机自动运行。启动“iexplore.exe”程序并将病毒代码注入其中并调用运行,隐藏自我,防止被查杀。破坏注册表项,导致用户无法进入安全模式。在所有盘符根目录下创建“autorun.inf”文件和木马主程序“MSDOS.pif”文件,实现双击盘符启动“桌面幽灵”变种fn病毒程序运行的目的。修改注册表,进行映像劫持,导致大量安全软件无法运行。在后台秘密监视用户打开的窗口标题,一旦发现QQ聊天窗口则将自身作为文件发送给好友,实现即时通讯工具传播。查找并强行关闭大量安全软件,极大地降低了被感染计算机的安全性。另外,“桌面幽灵”变种fn还会在后台连接骇客指定站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。
病毒名称:TrojanSpy.Banker.krx
中 文 名:“网银窃贼”变种krx
病毒类型:间谍类木马
病毒长度:1900544字节
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Banker.krx“网银窃贼”变种krx是“网银窃贼”木马家族的最新成员之一,采用Delphi语言编写,并经过加壳处理。“网银窃贼”变种krx运行后,自我复制到被感染计算机系统指定的文件夹里。修改注册表,实现木马开机自动运行。在被感染计算机的后台监控用户的键盘和鼠标操作,窃取用户输入的帐号、密码和网站地址等信息,并将窃取到的机密信息发送到骇客指定的服务器上。从被感染计算机上搜索有效的邮箱地址,利用被感染的计算机群发带毒邮件。在被感染计算机的后台连接骇客指定站点,下载恶意程序并自动调用运行,大大降低了被感染计算机上的安全性。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和*杀毒软件的恶性病毒。
4、江民杀毒软件采用窗口保护以及进程保护技术,避免病毒关闭杀毒软件进程,确保杀毒软件自身安全,更好地保护用户计算机的安全。
5、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页,如检测发现恶意网页,用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。网页安全专家下载地址:http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm
6、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算机,完全保护计算机系统安全。
7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码,全面保护用户私密信息。
8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://online.jiangmin.com/cha.asp.
热心网友
时间:2023-11-13 08:33
4月30日,江民反病毒中心发出紧急病毒警报,一种名为“桌面幽灵”的新病毒开始出现在互联网上,目前已有数百名用户上报电脑受该病毒感染。病毒综合了“磁碟机”“系统杀手”“ARP杀手”“机器狗”等多种恶意病毒特征于一体,不但会关闭多数杀毒软件,还会在后台窃取网游帐号密码、弹出恶意广告,严重危害电脑用户的系统和使用安全。
江民反病毒专家介绍,“桌面幽灵”系一种木马下载器蠕虫。病毒运行后,首先会将恶意代码注入到系统“svchost.exe”进程中,实现反安全软件的功能。然后,病毒会在用户电脑临时文件夹中释放安装3个带有“wxp2ins”字样的恶意驱动程序,来破坏计算机的安全防护机制。最后利用恶意磁盘过滤驱动程序去覆盖“explorer.exe”系统桌面程序,借助该程序去实现开机自启动,下载包括“系统杀手”“ARP杀手”“代理木马”“机器狗”等大量木马病毒到用户计算机中安装运行,给中毒电脑用户带来巨大危害。
“桌面幽灵”具有一整套的自我保护和反安全软件的机制。首先,病毒会检测自身进程是否被其它调试软件所调试分析,如果发现自身正在被调试分析则自动关闭退出,防止病毒研究人员分析该病毒。病毒会遍历当前计算机系统中的进程列表,如发现有“AVP.EXE”进程存在,则设置系统年份为2001年,使某款国外杀毒由于时间处理错误的BUG,利用杀毒软件正版保护系统的设计缺陷,导致其杀毒等功能失效。。病毒在被感染计算机的后台以挂起的方式调用系统“svchost.exe”进程,并将恶意可执行代码注入到已挂起的系统“svchost.exe”进程的内存空间中,然后恢复挂起,使其系统“svchost.exe”进程开始执行恶意操作。注入的恶意代码系“Trojan/AntiAV.a“系统杀手”变种a”木马病毒进程,主要用来执行自我保护和关闭多种安全软件,以及病毒自我升级和自动网页挂马等多种功能。
“桌面幽灵”在任务执行完毕后,会马上关闭退出。在退出时,被注入恶意代码的系统“svchost.exe”进程会删除掉病毒所在磁盘中的文件,使用户无法寻找到该病毒样本。
“桌面幽灵”运行后,会在系统文件下释放3个包括“wxp2ins”字样的临时文件。经分析,这3个文件分别为“ARP杀手”变种b、“ARP杀手”变种a、“代理木马”变种aeit。“ARP杀手”变种a和b的共同特征是使部分安全软件的防御系统和监控系统失效,从而达到木马免杀和躲避监控的目的。“代理木马”变种aeit通过恶意磁盘过滤驱动程序去破坏被感染计算机磁盘中的系统文件,具有绕过“还原保护系统”从而破坏被感染计算机真实磁盘中系统文件的功能,使用户防不胜防。上述三种病毒都是属于“桌面幽灵”恶意程序集合中的一个功能模块,伴随着这些恶意模块,还会有很多其它恶意程序模块一起安装到了被感染计算机用户的系统中。如果用户计算机感染了该类病毒,那么很难彻底清除干净,给染毒计算机系统的用户带来不同程度的损失。
“桌面幽灵”还具有“机器狗”变种病毒特征,病毒通过远程下载的方式,利用恶意磁盘过滤驱动程序去覆盖“explorer.exe”系统桌面程序,在被感染计算机系统的后台去连接骇客指定远程服务器站点“http://122.224.5.16/”,下载其它恶意程序“x.exe”并自动调用安装运行。其中,所下载的恶意程序“x.exe”可能为网络游戏盗号木马、木马下载器、蠕虫病毒等。
热心网友
时间:2023-11-13 08:34
