|
Backdoor/UltimateDefender.asp“終極騙子”變種asp是“終極騙子”后門家族中的最新成員之一��,采用高級語言編寫�����,經過加殼保護處理����。“終極騙子”變種asp運行后��,會在被感染系統的“%SystemRoot%\system32\”文件夾下釋放經過加殼保護的惡意程序“braviax.exe”���,在“%SystemRoot%\drivers\”����、“%SystemRoot%\system32\drivers\”和“%SystemRoot%\system32\dllcache\”文件夾下釋放惡意驅動程序“figaro.sys”和“beep.sys”�,同時會關閉系統文件保護提示�,防止在覆蓋系統文件時被用戶發現�����。創建注冊表項“PC_Antispyware2010”�����,關閉系統防火墻����、Windows安全中心�,同時修改IE瀏覽器默認主頁��、搜索頁等為“Google”��,并在任務欄右側托盤區域彈出“Your computer is infected!”的提示���。在未經用戶許可的情況下�����,前往指定的網站“http://poladerfados*ter.com/?wmid=1019&d=3&it=2&s=30”等下載惡意程序�。這款名為“PC Antispyware 2010”的虛假殺毒軟件會假裝掃描計算機文件���,并向用戶謊報計算機中存在大量的木馬等���,如果用戶想通過該軟件清除木馬則需要購買授權�,從而以這種方式對用戶進行詐騙����。另外���,“終極騙子”變種asp會在被感染系統注冊表啟動項中添加鍵值“braviax”����,以此實現開機自動運行����。
英文名稱:Backdoor/Wintu.s
中文名稱:“瘟徒”變種s
病毒長度:18944字節
病毒類型:后門
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:3e4295d7756a4cb76a5a116c4b4cd88b
特征描述:
Backdoor/Wintu.s“瘟徒”變種s是“瘟徒”后門家族中的最新成員之一��,采用高級語言編寫���,經過加殼保護處理���。“瘟徒”變種s運行后���,會自我復制到被感染系統的“C”盤目錄下���,重新命名為“lsass.exe”��。關閉系統防火墻�����,刪除所有已存在的注冊表啟動項����,并為原病毒程序及自身副本“lsass.exe”創建隨機名稱的啟動項�,以此實現開機自啟�����。不斷生成隨機的IP地址���,并掃描該IP地址所對應系統的3128端口���,這可能是為了搜尋可用的代理服務器并預謀實施非法攻擊等目的���。
針對以上病毒����,江民反病毒中心建議廣大電腦用戶:
1����、請立即升級江民殺毒軟件����,開啟新一代智能分級高速殺毒引擎及各項監控����,防止目前盛行的病毒�����、木馬��、有害程序或代碼等攻擊用戶計算機����。
2�����、江民KV網絡版的用戶請及時升級控制中心��,并建議相關管理人員在適當時候進行全網查殺病毒���,保證企業信息安全����。
3�����、江民殺毒軟件增強虛擬機脫殼技術�,能夠對各種主流殼以及疑難的“花指令殼”�����、“生僻殼”病毒進行脫殼掃描�,有效清除“殼病毒”���。
4�����、開啟江民殺毒軟件的系統監控功能����,該功能可對病毒試圖下載惡意程序����、強行篡改系統時間����、注入進程和調用其它惡意程序等行為進行監控并自動干預��、處理�����,有效地遏制了未知病毒對系統所造成的干擾和破壞���,更大程度提高了計算機對于未知病毒的防范能力�。
5��、江民防馬墻��,能夠第一時間發現和阻止帶有木馬病毒的惡意網頁�����,可以自動搜集惡意網址并加入特征庫���,阻止了網頁木馬的傳播��,有效地保障了用戶的上網安全��。
6�����、全面開啟BOOTSCAN功能��,在系統啟動前殺毒���,清除具有自我保護和反攻殺毒軟件的惡性病毒�。
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商�!15年品質保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
