|
威金蠕虫专杀 |
| 近日,反病毒中心监测到,“威金”病毒(Worm/Viking)的多个新变种在互联网上活动较为频繁,已有多家企业用户报告感染了该病毒并导致整个局域网受到不同程度的破坏。据江民全国病毒疫情监控系统数据显示,该病毒目前已有188个变种,从2005年5月19日首次出现至今,已经感染了15万余台计算机。
江民反病毒专家分析,“威金”病毒主要通过网络共享传播,病毒会感染电脑中所有的.EXE可执行文件,传播速度十分迅速。“威金”病毒运行后,修改注册表自启动项,以使自己随系统一起运行,向系统文件目录下生成以下病毒文件: Program Files\svhost32.exe |
| “魔鬼波”蠕虫专杀工具 |
| 2006年8月13日,江民公司反病毒中心发布紧急病毒警报,一利用微软5天前刚刚发布的MS06-040漏洞传播的“魔鬼波”(Backdoor/Mocbot.b)蠕虫现身互联网,感染该蠕虫的计算机将被黑客远程完全控制。微软在8月8日例行发布的MS06-040安全公告中称,其操作系统Server服务漏洞可能允许远程执行代码,并建议电脑用户立即升级。 据江民反病毒专家分析,“魔鬼波”蠕虫运行后,在系统目录下建立大小为9609字节的病毒文件wgareg.exe,该病毒文件经过加壳处理。病毒建立下面服务,以使自己可以在系统启动时自动运行。 服务名:Windows Genuine Advantage Registration Service 服务程序:wgareg.exe 描述:Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability. “魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行,可能造成services.exe崩溃等现象。蠕虫还可通过AOL即时通讯工具自动发送包含恶意链接的消息。 运行成功后,病毒会连接IRC服务器接收黑客命令,黑客的IRC服务器域名为: bniu.househot.com ypgw.wallloan.com 经江民反病毒专家查询,以上2个服务器的IP分别位于贵州六盘水市电信和上海大学新校区。 通过黑客命令,“魔鬼波”蠕虫可以进行下载运行任意程序,进行拒绝服务攻击(DDoS)等活动,使得用户计算机完全被黑客控制。 江民反病毒专家提醒,针对该蠕虫,江民杀毒软件已经紧急升级了病毒库,KV系列杀毒软件用户升级到8月14日病毒库,即可全面查杀该蠕虫。专家担心,由于微软安全公告发布还不到一周,可能还有许多用户没有安装微软MS06-040漏洞补丁,专家呼吁电脑用户务必尽快安装漏洞补丁,避免遭受病病毒侵害。 |
| “落雪”(GamePass)木马专杀1.1 |
| 近期,反病毒中心陆续接到网络游戏玩家报告,他们正在使用的网络游戏帐号莫名被盗,而且电脑中正在使用的杀毒软件也突然异常终止工作。据游戏玩家反映,多款品牌的杀毒软件都存在被异常终止的现象,而重新启动杀毒软件杀毒后,病毒仍然会出现,屡杀不绝。
接到用户举报后,江民反病毒中心立即对用户上报的可疑文件样本进行分析,经分析,导致网络游戏玩家帐号被盗的原因是电脑感染了一名为“落雪”的木马病毒。“落雪”木马可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备构成了极大的威胁。 “落雪”木马也叫“游戏大盗”( Trojan/PSW.GamePass),由VB 程序语言编写,通过 nSPack 3.1 加壳处理(即通常所说的“北斗壳”North Star),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。 病毒运行后,在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件,“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。江民反病毒工程师分析,这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:\windows\winlogon.exe,而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe,以此达到迷惑用户的目的。 江民反病毒工程师介绍,除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。 针对“落雪”病毒,江民杀毒软件KV系列产品已及时升级,用户只需升级病毒库到最新状态、开启病毒实时监控即可有效防杀该病毒,亦可使用江民未知病毒检测功能处理该病毒。没有安装杀毒软件的用户,也可以下载使用江民“落雪”木马专杀工具进行杀毒,以免遭“落雪”病毒侵害。 |
| 新网银木马专杀 |
| 说明:新网银木马(TrojanSpy.Banker)监视IE浏览器正在访问的网页,如果发现用户正在登录工行个人银行,就会弹出伪造的登录对话框 使用方法:下载文件至本机,双击运行即可 |
| “极速波”((I-Worm/Zotob)专杀工具下载 |
| 病毒名称:极速波(I-Worm/Zobot) 病毒类型:蠕虫、后门 病毒大小:22528字节 传播方式:网络 危害程度:★★★ 2005年8月15日,反病毒中心截获一个利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒I-Worm/Zotob。该病毒利用最新漏洞传播,并且可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制。 病毒具体技术特征如下: 2. 在注册表中添加下列启动项: 4. 在TCP端口33333开启FTP服务,提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞(MS05-039)进行传播。如果漏洞利用代码成功运行,将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行,未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。 5. 修改%SystemDir%\drivers\etc\hosts文件,屏蔽大量国外反病毒和安全厂商的网址。并有下列文本: 针对该病毒,KV杀毒软件在8月15日升级病毒库后可以查杀。江民公司提醒广大用户,请注意及时升级病毒库,开启实时监控,立刻安装微软的安全补丁。保护您的系统不受此病毒的威胁。 |
| 双波疫苗程序,"Jpeg漏洞”疫苗程序,"Iframe漏洞"疫苗程序 |
| 说明:此疫苗程序是针对"STYLE2">震荡波漏洞(MS04-011)、冲击波漏洞(MS03-026),Jpeg漏洞(MS04-028),IFRAME漏洞(MS04-040),LoadImage堆溢出漏洞的病毒家族的提供了免疫。 安装新版疫苗程序后,您的系统将不会再被“震荡波”和“冲击波”这两个恶性病毒家族侵害,同时也会大大降低感染“高波”、“漏波”、“飞波”等流行病毒的概率。 程序能够智能识别其他同功能的补丁程序,您不必担心疫苗程序和微软补丁冲突的问题。 使用方法:下载文件至本机,双击运行即可 |
24小时客服电话:6999000 |
