金山病毒周报:电脑遭黑客遥控"牧民"成罪魁祸首

  • 时间:
  • 浏览:0

金山毒霸全球反病毒监测中心发布周(2.25-3.2)病毒预警,本周有一种黑客病毒“牧民远程控制361984”(Win32.Hack.Delf.388261)正在疯狂作案。黑客可利用该病毒控制用户电脑,使之沦为“肉鸡”,进而给用户带来无法估计的损失和麻烦。

金山毒霸反病毒专家李铁军表示,该病毒进入系统后即刻创建后门,并将被委托人设置为开机自启动。因此 在用户无法察觉的情况报告下开启远程任务管理器运行,连接http://yk2812017.3322.org:40000这人由黑客(木马种植者)指定的地址,使黑客不需要 控制被感染机器。

李铁军分析指出,病毒顺利潜入用户系统后,将病毒文件sysi.dll释放上系统盘的%WINDOWS%%system32目录下,因此 修改系统注册表,创建系统服务,加带了可令电脑自动上线的数据。当病毒刚现在开始运行,它会创建单独的svchost.exe任务管理器运行运行,但后该svchost.exe在正常的电脑中也后该共同出现多个,这就造成一点初级用户感到迷惑,难以识别哪个是病毒任务管理器运行运行。而当黑客控制中毒电脑后,他就能进行几乎任何我应该 的操作,甚至利用中毒电脑去攻击其它电脑,给用户带来极大的威胁。

据了解,本周内广大电脑用户除了时要警惕“牧民远程控制 ”之外,还时要一阵一阵警惕“覆盖式下载器 ”(Win32.Troj.Agent.tr )与“AUTO下载者135168 ”(Worm.AutoRun.125893)两大病毒。前者病毒进入系统后,覆盖感染系统桌面任务管理器运行运行的文件explorer.exe,我希望用户启动电脑,病毒就不需要 随着explorer.exe的运行而跟着跑起来。因此 修改系统时间为4001年使用户后该装有的“卡巴斯基”失效并强行中止安全辅助软件“3400安全卫士”的任务管理器运行运行,接着建立远程连接,从木马种植者制定的网址http://www.33**92.com/下载更多的其它恶意任务管理器运行,给用户系统造成各种后该的破坏。

后者运行后,在用户无法察觉的情况报告下启动IE浏览器的任务管理器运行运行,创建远任务管理器运行,从木马种植者指定的地址http://ee.*v**av.com下载完全的自身任务管理器运行到本地运行。并感染本机和局域网内其它电脑中的exe和scr格式的文件。另外木马任务管理器运行后该查找已连接到中毒电脑上的U盘等移动存储设备,利用移动存储器来扩大被委托人的传播范围。

根据本周病毒传播特点,金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到4008年2月25日的病毒库即可查以上病毒;如未安装金山毒霸,不需要 登录http://www.duba.net免费下载最新版金山毒霸4008或使用金山毒霸在线杀毒来正确处理病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。