最受用户关注的十大木马 - 『青春校园』 - 会师楼中国甘肃白银会宁人家在线论坛

添加马甲

请在下面输入您的马甲帐号信息, 然后点击 "添加" 按钮. 马甲信息添加后不能修改, 如果您修改了马甲的密码或安全提问, 请删除这个马甲并重新添加.
注意，每添加一个马甲收取工本费 200 金钱

用户名
密码

安全提问
回答

附加设置	将正在使用的帐号添加为正在添加的马甲账号的马甲

会师楼 » 『青春校园』 » 最受用户关注的十大木马

‹‹ 上一主题 | 下一主题 ››

50 1/5 1 2 3 4 5 ››

钱車

超级版主

UID 2
精华 62
积分 12428
帖子 3994
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

楼主

大中小

使用道具

发表于 2007-11-23 19:52 资料短消息加为好友

分享到：

最受用户关注的十大木马

11.12-11.28流行病毒排行榜NO.1：Win32.Troj.Poebot.70754.E959B747病毒大百科中有关该病毒的描述：http://vi.duba.net/virus/win32-troj-poebot-70754-e959b747-50021.html
病毒名:
Win32.Troj.Poebot.70754.E959B747

威胁级别: ★★☆☆☆
病毒类型:木马程序
病毒长度: 70754
影响系统: WinNT Win2000 WinXP Win2003

病毒行为:
该病毒运行后复制自身至系统文件夹，然后创建批处理删除自身，并通过伪装winamp播放器进程运行。病毒打开用户计算机后门，允许远程攻击者控制用户计算机，包括收集、下载、盗取用户信息，对用户的电脑系统及个人网络财产的安全构成严重威胁。同时该病毒会生成一个局域网IP地址，并利用系统漏洞及自身的密码字典，尝试破解弱密码，来进行恶意攻击和传播。

另外，该病毒还具有盗取网络游戏”魔兽世界“和”Unreal3“等CD-Keys的功能。
1.复制自身至
%system%\winamp.exe
然后用批处理删除自身
2.启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunWinamp Agent "%sys32dir%\winamp.exe"
3.盗取以下软件用户信息（帐号、密码、CD-Keys）：
FlashFXP
internetexplorer
OutlookExpress
MSN Explorer
UnrealIRCD
Steam
World OfWarcraft
Conquer Online
4.复制自身至 IPC$ 共享：
IPC$
print$
C$\Documentsand Settings\All Users\Documents\$
admin$
Admin$\system32
c$\windows\system32
c$\winnt\system32
c$\windows
c$\winnt
e$\shared
d$\shared
c$\shared
并利用以下弱密码攻击以获取权限：
winpass
blank
nokia
orainstall
sqlpassoainstall
databasepassword
databasepass
dbpassword
dbpass
domainpassword
domainpass
hello
hell
love
money
slut
bitch
fuck
exchange
loginpass
login
qwe
zxc
asd
qaz
win2000
winnt
winxp
win2k
win98
windows
oeminstall
oem
accounting
accounts
letmein
sex
outlook
mail
qwerty
temp123
temp
null
default
changeme
demo
test
secret
payday
deadline
work
pwd
pass
pass1234
dba
passwd
password
password1
abc
staff
teacher
owner
student
intranet
lan
main
office
control
siemens
compaq
dell
cisco
ibm
oracle
sql
data
access
database
domain
god
backup
technical
mary
katie
kate
george
eric
none
guest
chris
ian
neil
lee
brian
susan
sue
sam
luke
peter
john
mike
bill
fred
joe
jen
bob
wwwadmin
oemuser
user
homeuser
home
internet
www
web
root
server
linux
unix
computer
adm
admin
admins
administrat
administrateur
administrador
administrator
5.打开系统后门，允许远程攻击者控制用户计算机，包括：
收集系统信息
扫描局域网机器并传播
下载和运行指定程序
运行http/ftp服务
升级病毒文件
盗取软件密码
6.尝试利用以下漏洞，及自身的弱密码攻击网络共享和SQL服务器：
SMB(MS03-024)
SRVSVC(MS06-040)
RPC-DOM(MS06-012)
解决方案：
该病毒集黑客工具、木马、后门、蠕虫病毒的行为于一体，中毒后，将对系统和局域网带来严重影响。发现此病毒入侵，应立即尝试修改系统管理员口令，避免使用弱密码。修改口令的方法见：新手必读系列的《杀毒需要了解的基本功》7楼。

使用金山清理专家全面检测系统漏洞，并尝试修复。

该病毒的手工删除很简单，只需要删除这个文件%system%\winamp.exe，再用金山清理专家2.1,使用系统修复，把这一项目的引用修复即可。

钱車

超级版主

UID 2
精华 62
积分 12428
帖子 3994
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

沙发

大中小

使用道具

发表于 2007-11-23 19:54 资料短消息加为好友

11.12-11.28流行病毒排行榜NO.2：Win32.TrojDownloader.Delf.114688病毒名称(中文):Win32.TrojDownloader.Delf.114688
威胁级别: ★☆☆☆☆
病毒类型: 木马下载器
病毒长度: 114688
影响系统: Win9x Win2000 WinXP

病毒行为:
该病毒是一个木马下载器，会从网上下载其他病毒至客户的机器上并运行。病毒运行后生衍生一个DLL文件至系统目录中.
1.生成文件
%WinDir%\System32\Downdll.dll
2.修改注册表，添加浏览器加载项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
SavedLegacySettings =hex:3c,00,00,00,06,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,00,00,00,00,00,00,20,94,af,51,08,a1,c7,01,01,00,00,00,c0,a8,1c,f4,00,00,00,00,00,00,00,00,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FB5F1910-F110-11D2-BB9E-00C04F795683}\iexplore
Count = dword:00000005
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FB5F1910-F110-11D2-BB9E-00C04F795683}\iexplore
Time = hex:d7,07,08,00,04,00,10,00,06,00,19,00,38,00,9b,00,
3.病毒运行后创建一个IEXPLORE.EXE进程.
4.从http://www.*****.cn/images/js/az.exe下载病毒文件保存到c:盘根目录下.
5.在C:\Windows\system32下生成一个Delme.bat文件用于删除源文件.

病毒下载器是今年下半年危害最为严重，最容易被观察到的现象是，一台电脑会中五花八门，多种多样的木马。

解决方案：
1.使用金山毒霸2008扫描病毒时，如果建议重启，最好立即重启，抢先杀毒机制会将病毒创建的DLL文件删除。
2.使用金山清理专家2.1，系统修复中将病毒创建的IE加载项删除
3.使用金山清理专家2.1，联机检查所有加载项，将未知的加载项提交。

钱車

超级版主

UID 2
精华 62
积分 12428
帖子 3994
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

板凳

大中小

使用道具

发表于 2007-11-23 19:55 资料短消息加为好友

11.12-11.28流行病毒排行榜NO.3：Win32.TrojDownloader.HmirT.a.25920Win32.TrojDownloader.HmirT.a.25920病毒是个rootkit，毒霸07和08中已经集成bootclean杀毒技术（顽固病毒清除技术）应该是可以较容易的清除的。

以下是这个病毒的详细技术分析：
1. 这是一个rootkit,该病毒创建设备名为\Device\KabCleanner的设备,名为\DosDevices\KabCleanner的符号链接

2. rootkit动态搜索ntoskrnl.exe文件,根据导出表和重定位表信息,以得到KeServiceDescriptorTable所指向的SSDT表中
ZwOpenKey,ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile的真实地址,以此来逃过安全监视工具的截获.

3 .另外rootkit新建\registry\machine\system\currentcontrolset\services\saiujrh38l键
"Type"=1
" ErrorControl"=1
"DisplayName"="saiujrh38l"
"Group"="System Bus Extender"
"Start"=dword:00000000
"imagepath" = "System32\DRIVERS\saiujrh38l.sys"

4 . 监视userinit.exe和explorer.exe进程的创建,若userinit.exe进程创建,则修改注册表的
\registry\machine\software\microsoft\windows\currentversion\runonce键
设置键值为 %systemroot%\system32\Rundll32.exe %systemroot%\system32\55Id.dll,DllUnregisterServer .
若为explorer.exe进程创建则创建新线程来完成%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll的创建。如果使用毒霸检测到该病毒，并重启后仍未完成修复，可以尝试使用金山清理专家的文件粉碎器，将%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll两个文件添加到彻底删除的列表，删除后立即重启计算机。

缺省情况下%SystemRoot%\system32目录指c:\windows\system32目录，请根据自己windows安装路径灵活修改。

钱車

超级版主

UID 2
精华 62
积分 12428
帖子 3994
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

地毯

大中小

使用道具

发表于 2007-11-23 19:56 资料短消息加为好友

11.12-11.28流行病毒排行榜NO.4：Win32.PSWTroj.Lineage.73770病毒名称(中文):Win32.PSWTroj.Lineage.73770
威胁级别:★☆☆☆☆
病毒类型:木马
病毒长度:73770
影响系统:Win9x WinMe WinNTWin2000 WinXP Win2003

病毒行为:
这是一个盗号木马，专偷天堂号。病毒运行后，将自身复制至SendTo文件夹（Sendto是发送到文件夹，比如发送到回收站、发送邮件等），并释放病毒文件，并通过修改注册表达到自启动。该病毒会盗取网络游戏天堂的，用户信息，包括帐号、密码等。
1.生成文件
%profile%@\SendTo\Winfzgd.EXE
%profile%@\SendTo\Winfzgd.hlp
2.生成注册表项
HKEY_CURRENT_USER\Software\Nexon\Kingdom of the Winds DialogPos13
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunBianFeng "%profile%\SendTo\Winfzgd.EXE"
3.通过注入进程的方式盗取网络游戏天堂用户信息，然后发送至以下网址：
hxxp://www.gamexxxx.com/fzgd/updata.asp?fwq=%s&user=%s&password=%s&ckpass=%s

解决方案：
1.删除以下文件
%profile%@\SendTo\Winfzgd.EXE
（%profile%缺省为当前计算机用户配置的文件夹，比如：C:\Documents and Settings\Administrator\SendTo\，当管理员是其它名字时，搜索这个名字下的sendto文件夹）
%profile%@\SendTo\Winfzgd.hlp

2.使用金山清理专家2.1将病毒修改的加载项删除。清理专家的用法，请参考新手入门之《清理专家简易手册》

有关下载器的防范原则：

1.木马大多数情况下使用社会工程学欺骗，来入侵电脑，用户应对小心浏览一些看起来不太正规的网站。
2.使用漏洞扫描修复工具防止病毒因为系统漏洞入侵
3.安装杀毒软件，并保持监控有效。

钱車

超级版主

UID 2
精华 62
积分 12428
帖子 3994
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第5楼

大中小

使用道具

发表于 2007-11-23 19:57 资料短消息加为好友

11.12-11.28流行病毒排行榜NO.5：Win32.Troj.OnlineGamesT.nf.94208病毒名称(中文):Win32.Troj.OnlineGamesT.nf.94208

病毒别名:盗号木马已经多到没办法命名的地步，大部分盗号木马没有详细分析，只用自动分析流程提取了病毒特征

威胁级别:★☆☆☆☆
病毒类型:木马程序
病毒长度:38032
影响系统:Win9x WinNT Win2000WinXP Win2003

病毒行为:
这是一个盗号木马。病毒运行后，释放病毒文件至"NetMeeting"文件夹，修改注册表启动项。病毒通过注入桌面进程，监控网络游戏魔域窗口，并盗取用户帐号、密码、密保等信息，发送给远程盗号者，损害用户利益。
1.复制自身至（木马最重要的特征是伪装，通常会把自身伪装为正常文件，创建的木马程序通常在系统文件夹下）
%programfiles%\NetMeeting\ravmymon.exe
然后释放文件
%programfiles%\NetMeeting\ravmymon.cfg
%programfiles%\NetMeeting\ravmymon.dat
最后使用批处理删除自身
2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runravmymon "%programfiles%\NetMeeting\ravmymon.exe"
3.注入桌面进程，监控网络游戏魔域窗口，盗取用户帐号、密码、密保等信息，并发送至远程服务器
hxxp://www.abcdf.cn/my7570/lin.asp?a=%s&s=%s&u=%s&p=%s&pin=%s&r=%s&l=%d&m=%d&mb=%s

解决方案：
这个木马并不复杂，木马注入了explorer进程，监控游戏客户端盗号。
中毒后，启动到安全模式下病毒也会执行，金山毒霸2008（2007近期也已经更新）的抢先杀毒功能（bootclean)，可以一次重启将病毒清除。

通用的防木马原则：
1.木马大多数情况下使用社会工程学欺骗，来入侵电脑，用户应对小心浏览一些看起来不太正规的网站。
2.使用漏洞扫描修复工具防止病毒因为系统漏洞入侵
3.安装杀毒软件，并保持监控有效。

钱車

超级版主

UID 2
精华 62
积分 12428
帖子 3994
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第6楼

大中小

使用道具

发表于 2007-11-23 19:59 资料短消息加为好友

11.12-11.28流行病毒排行榜NO.6：Worm.Autorun.c.17463病毒名称(中文):Worm.Autorun.c.17463（AUTO病毒）

威胁级别:★★☆☆☆
病毒类型:蠕虫病毒
病毒长度:17463
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:
这是一个AUTO病毒。该病毒运行后，会立即修改系统时间，使依赖时间的杀毒软件立即失效。并且会在各盘中生成AUTO病毒文件。当用户鼠标左键双击进入AUTO病毒的盘时，病毒则触发运行。
1.病毒运行后，生成以下病毒文件
%system32%\C4393B08.DLL
%system32%\ED9825C0.EXE
%system32%\llk1131786170.h
%system32%\n1131786173k.exe
并且在各盘中生成AUTO病毒文件
2.病毒运行成功后会自删除，使用户无法找到病毒源文件。
3.病毒成功运行后，会修改系统时间为2005年，使杀软卡巴斯基的激活码失效，导致用户系统的安全性能大大降低，病毒
可以肆意在机器中进行任何操作。
4.在任务管理器中可以看到病毒进程已经在执行操作，每隔一段时间将会使桌面图标消失，然后再显示出来。
5.打开浏览器时，占用的内存非常高。
6.在各盘中产生的AUTO病毒分别为:autorun.inf和auto.exe，这两个病毒文件都具有隐藏属性，其中auto.exe还有伪装微
软系统文件的属性。当用户左键双击有AUTO病毒的盘时，则会触发病毒且运行起来。
7.当鼠标左键双击进入盘符的时候，会等待一会才进入，而且可以发现进入的时候是另外弹出一个窗口进入的，此时证明
已经触发AUTO病毒，再仔细观察，隐藏文件的属性已经被修改，无法显示隐藏文件。
8.查看启动项，已经被病毒添加了许多的病毒启动项，都随着系统的启动而运行。
9.病毒还会尝试把其他的病毒文件进行复制，当复制到系统盘内则可进行病毒操作。
10.最后导致不段的弹窗口，由于系统资源严重被占用，关闭窗口速度缓慢，所以造成系统严重瘫痪。

解决方案：
该病毒采用和AV终结者类似的手法，改系统时间令卡巴失效，利用移动存储设备的自动播放功能启动。病毒还会释放很多个文件名随机的DLL文件和EXE文件，注入正常程序进程，下载其它木马或安装流氓软件。

因病毒变种较多，手工查杀不易，应优先使用杀毒软件完成清除。当毒霸提示需要重启清除时，一定要重启。毒霸2008的抢先杀毒技术会在重启电脑过程中，将病毒彻底清除。

防范措施：
1.启用网络防火墙软件，拦截病毒通过网络攻击传播；
2. 使用漏洞修复软件或windows update及时修补系统漏洞，特别需要注意升级IE浏览器。
3. 及时升级杀毒软件，开启实时监控，可有效阻止已知的病毒入侵
4. 关闭windows的自动播放功能，阻止病毒通过U盘传播。可以使用金山清理专家2.1实现，安全百宝箱中有自动运行管理器，将所有驱动器的自动播放关闭就可以。

钱車

超级版主

UID 2
精华 62
积分 12428
帖子 3994
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第7楼

大中小

使用道具

发表于 2007-11-23 20:02 资料短消息加为好友

11.12-11.28流行病毒排行榜NO.7：Win32.Troj.Autorun.go.15173病毒名称(中文):Win32.Troj.Autorun.go.15173

威胁级别:★☆☆☆☆
病毒类型:木马程序
病毒长度:15173
影响系统:WinNT Win2000 WinXP

病毒行为:
病毒把本身复制到%SystemRoot%\system32\dllcache\svchost.exe 覆盖原来的svchost.exe 。
创建系统服务使病毒自身能达到开机自动运行。
结束以下进程:（这个木马专门针对金山清理专家和金山网镖）
KASMain.exe
kpfwsvc.exek
添加文件:
%SystemRoot%\system32\dllcache\svchost.exe
%SystemRoot%\system32\dllcache\1028\svchost.exe
%SystemDrive%\auto.exe（每个磁盘根目录都会多出一个auto.exe)
添加注册表:
键名:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\svchost
键名:HKEY_CURRENT_USER\System\CurrentControlSet\Services\svchost

解决方案：
这个病毒比较简单，解决它很容易，重启到带命令安全模式删除这三个文件（或者，安全模式下用金山清理专家的文件粉碎器干掉它们），最简单的就是装毒霸08升级后，扫描以下位置，发现病毒要求重启清除时，按提示重启计算机就可以了。
%SystemRoot%\system32\dllcache\svchost.exe
%SystemRoot%\system32\dllcache\1028\svchost.exe
%SystemDrive%\auto.exe（每个磁盘根目录都会多出一个auto.exe)

防范措施：
1.启用网络防火墙软件，拦截病毒通过网络攻击传播；
2.使用漏洞修复软件或windows update及时修补系统漏洞，特别需要注意升级IE浏览器。
3.及时升级杀毒软件，开启实时监控，可有效阻止已知的病毒入侵
4.关闭windows的自动播放功能，阻止病毒通过U盘传播。可以使用金山清理专家2.1实现，安全百宝箱中有自动运行管理器，将所有驱动器的自动播放关闭就可以。

钱車

超级版主

UID 2
精华 62
积分 12428
帖子 3994
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第8楼

大中小

使用道具

发表于 2007-11-23 20:02 资料短消息加为好友

11.12-11.28流行病毒排行榜NO.8：Win32.Troj.Renos.a病毒名称(中文):Win32.Troj.Renos.a
威胁级别:★☆☆☆☆
病毒类型:广告流氓程序
病毒长度:29596
影响系统:Win9x WinMe WinNTWin2000 WinXP Win2003

病毒行为:
这是一个恶意广告软件，病毒采用进程互锁，并定时弹出虚假警告，诱惑用户点击安装其它软件，显然是开发这些软件的无良商人购买了这种流氓软件的服务。

1. 病毒将自身拷贝两份到%WinDir%目录下，分别命名为wupdmgr.exe和osaupd.exe。（文件名和系统文件名很相似，以迷惑用户）
2. 病毒的进程一旦运行，通过检查互斥体，互相启动进程，形成进程互锁，普通方法很难将其终止。简单的结束进程会无效的，可使用金山清理专家的文件粉碎器，将这两个文件同时添加到彻底删除的列表，一次将两个恶意软件彻底删除。
3. 病毒在注册表中添加如下键值，作为感染标志，并以此实现开机自启：
[HKEY_CLASSES_ROOT\Balloon.Application]
默认 ="Balloon.Application"
[CLSID]
默认 ="1CA7DBAF-B066-4554-977E-5CEBB7FA59C8"
[HKEY_CLASSES_ROOT\CLSID\{1CA7DBAF-B066-4554-977E-5CEBB7FA59C8}]
默认 ="Balloon.Application"
[InproHandler32]
默认 ="ole32.dll"
[LocalServer32]
默认 ="%WinDir%\wudpmgr.exe"
[ProgramId]
默认 ="Balloon.Application"
4. 病毒会定时弹出下面的虚假警告，诱惑用户点击以安装其它广告软件：
"Yourcomputer is infected with malicious ware, what can cause serious riskfor your system security!"
"Malicious programscan change, damage and delete important system components, what can cause slower performance, valuable data loss,unstable system operation, irritating pop-ups rushing out and yourpasswords and credit card information may be stolen!"
"Click"OK" to get software and special offers on antivirus software.
Security systemdetected that your PC is seriously infected with spyware.Spyware typically refers to virus-like software which performs hiddentasks on your PC without your consent, bringing annoyingpopups, collecting personal information or causing sluggish performance. Itis highly advised that you use anti-spyware tools to
prevent dataloss and system crashes."
"Protect your PC now?download anti-spyware tools that will scan your system forinfections and remove them."
"Click"OK" to get special offers and download links on anti-spyware tools. Spywareinfection detected! Windows has detected spyware in your system. Itis strongly recommended that you stop working with valuable dataand proceed to using special antispyware programs to to prevent data loss."

解决方案：
前面已经提到了解决办法，使用金山清理专家2.1，启动安全百宝箱，将%WinDir%目录（缺省为c:\windows目录），下的wupdmgr.exe和osaupd.exe，添加到彻底删除的列表。有关清理专家2.1百宝箱的用法，可参考：《金山清理专家简易手册》的9楼。

流氓软件修改的注册键值，可以在彻底删除流氓软件后重启，再手动运行regedit，打开注册表编辑器，将病毒添加的如下键删除。引用:

[HKEY_CLASSES_ROOT\Balloon.Application]
默认 ="Balloon.Application"
[CLSID]
默认 ="1CA7DBAF-B066-4554-977E-5CEBB7FA59C8"
[HKEY_CLASSES_ROOT\CLSID\{1CA7DBAF-B066-4554-977E-5CEBB7FA59C8}]
默认 ="Balloon.Application"
[InproHandler32]
默认 ="ole32.dll"
[LocalServer32]
默认 ="%WinDir%\wudpmgr.exe"
[ProgramId]
默认 ="Balloon.Application"

防范措施：
流氓软件往往是随着不少免费的共享软件捆绑安装的，在安装这些软件的时候，不要随意点“下一步”按钮，最好注意看清楚安装过程中的对话框。推荐去大的下载站点下载软件，不要在小站下载软件。

钱車

超级版主

UID 2
精华 62
积分 12428
帖子 3994
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第9楼

大中小

使用道具

发表于 2007-11-23 20:03 资料短消息加为好友

11.12-11.28流行病毒排行榜NO.9：Win32.Troj.Unknown.b.81920病毒名称(中文):Win32.Troj.Unknown.b.81920（这种恶心人的病毒太多了，自动分析系统用unknown来命名）
威胁级别:★☆☆☆☆
病毒类型:木马下载器（又是下载器）
病毒长度:81920
影响系统:WinNT Win2000 WinXP

病毒行为:
这是一个下载者病毒，病毒会把客户计算机里的安全软件警告都关闭掉，使客户计算机里的安全软件失去作用，病毒在客户计算机上的每个盘下生成 AutoRun.inf 和Dser.exe 文件，病毒会读取木马种植者指定的其它木马下载地址并下载保存到客户计算机上运行。

病毒成功在客户计算机上运行后把自身复制到客户计算机的%SystemRoot%\system32\ 文件夹下

病毒会注册表服务项以达到开机自启动的作用

病毒通过查找窗口的方法关闭安全软件的警告窗口,如发现客户计算机上安装了指定的杀软,会修改系统时间导致杀软失效.
（又是和AV终结者用相同的手法）

病毒生成的文件:
%SystemRoot%\system32\Dser.exe
病毒添加的注册表项:
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown
ImagePath:"%SystemRoot%\system32\Dser.exe"

病毒会从以下指定的木马下载地址下载木马程序至客户计算机:
hxxp://www.**ba*ba*mm.**.cn/123.exe
hxxp://www.**ba*ba*mm.**.cn/124.exe
hxxp://www.**ba*ba*mm.**.cn/125.exe
hxxp://www.**ba*ba*mm.**.cn/126.exe
hxxp://www.**ba*ba*mm.**.cn/127.exe
hxxp://www.**ba*ba*mm.**.cn/128.exe

解决方案：
该病毒关闭杀毒软件，并下载更多木马，下载器本身只有一个文件。中毒后，应该全面查杀，将所有已经下载的木马清除干净。
手工查找%SystemRoot%\system32\Dser.exe（缺省是c:\windows\system32目录）
使用金山清理专家直接粉碎这个文件，然后尝试升级毒霸杀毒。

防范手段：
1.启用网络防火墙软件，拦截病毒通过网络攻击传播；
2.使用漏洞修复软件或windows update及时修补系统漏洞，特别需要注意升级IE浏览器。
3.及时升级杀毒软件，开启实时监控，可有效阻止已知的病毒入侵
4.关闭windows的自动播放功能，阻止病毒通过U盘传播。可以使用金山清理专家2.1实现，安全百宝箱中有自动运行管理器，将所有驱动器的自动播放关闭就可以。

钱車

超级版主

UID 2
精华 62
积分 12428
帖子 3994
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第10楼

大中小

使用道具

发表于 2007-11-23 20:03 资料短消息加为好友

11.12-11.28流行病毒排行榜NO.10：Win32.PSWTroj.OnLineGames.53248病毒名称(中文):Win32.PSWTroj.OnLineGames.53248
威胁级别:★☆☆☆☆
病毒类型:偷密码的木马
病毒长度:53248
影响系统:Win9x Win2000 WinXP

病毒行为:
该病毒是一个网络游戏<彩虹岛>的盗号木马，（貌似彩虹岛的玩家并不多，中毒的人却不少）
病毒运行后会衍生病毒文件至系统目录下.并把DLL文件注入到进程当中.
1.生成文件.
%Windir%\AVPSrv.exe（明显是假冒卡巴）
%sys32dir%\AVPSrv.dll
2.添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
AVPSrv ="C:\WINDOWS\AVPSrv.exe"
3.病毒木马通过读取内存的方式盗取用户的游戏账号和密码,并把相关资料以网页提交的方式发送到以下网站:
"http://jt1.*****jj.com/cchh/lin.asp"
4.病毒运行之后会删除病毒源文件.

解决方案：
1.升级杀毒软件查杀
2.手工解决：只需要删除这两个文件
%Windir%\AVPSrv.exe（指c:\windows目录）
%sys32dir%\AVPSrv.dll（指c:\windows\system32目录）

防范措施：
1.建议网游玩家，小心使用游戏外挂，尽量不去接收非官方提供的程序，避免木马入侵。
2.建议参考金山清理专家2.1的安全建议，加固你的系统，有关金山清理专家的使用和下载，请参考新手入门系列之《金山清理专家简易手册》

※本文所有权属于钱車和会师楼共同所有，未经同意，禁止转载!※

50 1/5 1 2 3 4 5 ››

京ICP备07018629号
本站QQ群69392608

当前时区 GMT+8, 现在时间是 2025-5-7 05:30

免责声明：本站部分文章、资源来自互联网,版权归原作者所有。如侵犯了您的权利,请及时告知,我们将于第一时间删除！

TOP

清除 Cookies - 联系站长 - 精简版 - 手机版