节假日木马大肆作案 最牛三大圣诞节病毒节假日已经成为木马病毒大肆作案的挡箭牌,大量木马病毒打着节假日的幌子招摇撞骗,很多电脑用户一不小心就步入了病毒设计好的陷阱,也常常因此蒙受经济上的损失。 12月21日起,反病毒厂商纷纷发布圣诞节病毒预警,而今年的圣诞节,MSN相册、瓢虫病毒等似乎来的更早,危害性更是不容小觑。
金山毒霸反病毒专家戴光剑表示,圣诞节、情人节等国外传来的节日最容易被病毒利用,木马病毒往往以一些祝福语、情话为幌子,发送带毒的邮件或链接,而在这些特殊的日子里,用户一般警惕性不高,很容易遭遇木马病毒的入侵。
史上最牛的三大圣诞病毒档案:
“圣诞节”病毒
入选理由:危害与CIH病毒相当
破坏指数:★★★★
病毒描述:该病毒不仅可以删除文件,也可以毁坏电脑主板上的可擦写BIOS。 由于这种新病毒只在12月25日发作,因此又被称为“圣诞节”病毒。使用Windows 95, Windows 98或者Windows NT作为操作系统的电脑都有可能感染 上“圣诞节”病毒。一旦感染之后,这种病毒可以毁坏CMOS存储器,覆盖所有驱动器中所有文件的数据,然后使用和CIH病毒一样的方式毁坏可擦写BIOS。
圣诞节宏病毒1.0版
入选理由:宏病毒的圣诞节变种
破坏指数:★★★★
病毒描述:该病毒会修改Word的档案、工具、表格,更改为“圣诞节”等字样。另一个圣诞节当天会发作的W97M_Lys_Kovick,会感染微软Word的模板文件,一旦网友开启并被感染,则会出现“The Lord Is Father…Jesus my savior”的对话。而PE_KRIZ.3740病毒发作时,会毁坏CMOS设定资料,将磁盘中的档案写入垃圾资料,并仿照CIH病毒的破坏模式,毁坏电脑的FLASHBIOS。
QQ圣诞虫
入选理由:影响范围之广,波及用户之多,堪称圣诞病毒之最
破坏指数:★★★
病毒描述:病毒通过QQ发送信息,引诱用户点击。用户一旦点击下载并运行指定文件后,病毒随即发作。“QQ圣诞虫”病毒同时被恶意网站利用,修改用户主页,用户一旦打开IE浏览器,就会自动链接happy.32532.com这个网站。该病毒还会修改浏览器主页,结束大量安全软件进程。此外,QQ圣诞虫还会下载并安装破解过的还原精灵主程序,使网吧、机房受到损失。
安全专家提醒用户,需要从三个方面防范圣诞病毒入侵:
1、最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2、由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
3、在通过网络进行交易前,一定仔细看清楚各项交易条款,避免草率输入帐号密码等相关信息;用户收到有关圣诞邮件或者聊天信息时一定要小心谨慎,不要轻易打开陌生邮件的附件或聊天信息中的链接。
迅雷5 又出现严重0-Day漏洞都记不清是第几个了
据相关报道,迅雷5出现严重0-Day漏洞,病毒作者可利用该漏洞编写恶意网页,当用于浏览这些网页的时候,就会感染病毒,进而该病毒可以盗窃用户的帐号和密码,从而使用户遭受到损失。
与上次的不同,这次有漏洞的程序出现在迅雷看看(Thunder KanKan)上,pplayer.dll 组件版本号:1.2.3.49,CLSID:F3E70CEA-956E-49CC-B444-73AFE593AD7F.
目前的临时解决办法是在注册表中设置killbit 。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F3E70CEA-956E-49CC-B444-73AFE593AD7F}]
"Compatibility Flags"=dword:00000400
迅雷今年已经接二连三的出现严重漏洞了,病毒作者利用迅雷漏洞下载病毒似乎已经成为了病毒编写的“标准配置”,我个人建议这些应用软件厂商,在挣钱的同时,请多注意一下代码编写的审查,毕竟谁也不想将“迅雷下载器”该名为“病毒下载器”吧?!
"熊猫"变身"瓢虫"病毒 圣诞节期间卷土重"烧"金山毒霸发布圣诞期间紧急病毒预警,行为极度恶劣的“瓢虫”病毒新变种(Win32.Troj.Downloader.vb.237568)预计在圣诞节前后大面积发作,感染电脑内将爬满“瓢虫”,广大用户需高度警惕。 反病毒专家戴光剑表示,“瓢虫病毒集熊猫烧香、AV终结者等年内重大病毒破坏性于一身,虽然目前病毒本身还有些缺陷,但随着新变种的不断出现,其破坏程度不容小觑。”
据了解,“瓢虫”病毒与熊猫烧香类似,感染性极强,用户电脑一旦感染该病毒,除系统盘,被感染后的exe文件图标将变成绿色的“小飘虫”;同时,用户电脑内的浏览器、任务管理器、文件夹选项、系统时间等项目都将遭受破坏。
戴光剑指出,这是一个感染性极强的病毒,病毒运行后,用户电脑将表现出五大“中毒”症状:
1、 电脑运行速度立刻变慢,杀毒软件无法正常使用;
2、 系统时间被修改为2030年,使依赖系统时间的软件全部失效;
3、浏览器首页被篡改。
当用户打开浏览器,会发现首页被修改为一个伪装的“百度”,由于该网址同样具有正常的搜索功能,所以极具容易迷惑性;
4、“任务管理器”和“文件夹选项”遭屏蔽。如果用户想使用“任务管理器”和“文件夹选项”来查看是谁在系统中捣鬼,会发现这两个功能都被病毒屏蔽掉;而当用户试图打开注册表时,会弹出一个对话狂,提示“注册表编辑已被管理员停用”;再仔细检查,会发现连System32文件夹都不见了,病毒已经把自己隐藏得非常深;
5、硬盘、软驱、光驱自动共享。用户打开“我的电脑”时,可发现机器的硬盘以及软驱、光驱全部已经自动设置成共享状态,并且这种共享还被病毒锁死,无法改回正确的设置。这样,只要有谁愿意,都可以一览无遗地浏览用户电脑中的资料。
反病毒工程师分析指出,病毒潜入用户电脑系统后,会在系统盘中释放出6个病毒文件,分别为%windows%\system32\目录下的 AUTORUN.INF、netshare.cmd、Avpser.cmd、Taskeep.vbs、SDGames.exe,以及%windows%下的system.ini。除此而外,病毒还在全部磁盘的根目录下生成AUTORUN.INF、Recycleds.url、SDGames.exe、 Windows.url、新建文件夹.url等文件。
年终岁末是病毒的高发期,反病毒工程师建议广大用户:1、最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。2、由于玩网络游戏、利用QQ 聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机
警告:恶意脚本盯上了RealPlayer趋势科技发布警告提醒近期要小心防范针对RealPlayer的恶意脚本.该脚本主要针对Windows 2000和Windows XP两种平台.它的大名就叫JS_REALPLAY.J,这种恶意脚本会在你访问恶意站点时悄悄寄居在你的电脑中.更重要的是这一恶意脚本试图利用 RealPlayer的一个漏洞进行攻击,导致堆栈存储器溢出从而允许在系统中下载可能的恶意文件.
恶意脚本针对RealPlayer
根据趋势科技的安全公告,RealPlayer以下版本均在攻击之列:6.0.10, 6.0.11, 6.0.12, 6.0.14, 6.0.14.536, 6.0.14.543, 6.0.14.544, 6.0.14.550 及 6.0.14.552.
这一恶意脚本主要针对Windows 2000和Windows XP两种平台,一旦在计算机上落脚,它就会首先扫描目标系统以确定其属于何种平台,并扫描确定是否安装过IE 6或IE7.另外,根据趋势科技安全公告,这种恶意脚本还会检测系统中是否安装了RealPlayer及所安装的版本以确定在系统中所要写的代码.
在感染完成后,JS_REALPLAY.J则开始进行攻击,它会连接到一个恶意网站,试图下载一个危险的文件,趋势科技将其命名为 PE_MUMAWOW.AO-O.该文件在下载后则会在Windows文件夹里放置一个可执行文件.这样,恶意脚本就完成了其感染系统、攻击系统的疯狂行为.
不过,根据安全报告称,用户 RealPlayer旧版本的用户,可以下载最新的版本,以防范恶意脚本的攻击.
病毒下载器当道 梅勒斯下载器变种KO
病毒运行后首先会判断System32路径下是否有TxoMoU.Exe这个文件,如果有则调用WinExex函数运行该程序,然后释放与病毒文件同名bat把自己删除。 如果没有首先创建一个名为sos的互斥体防止进程有多个病毒实例运行。
然后把自己复制到System32路径下命名为TxoMoU.Exe,添加以下注册表项实现自启动:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\crsss =
"C:\WINDOWS\system32\TxoMoU.Exe
然后病毒修改以下注册表项实现不显示隐藏文件、禁用任务管理器、禁止Windows升级功能:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\
DisableWindowsUpdateAccess = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableTaskMgr = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
HideFileExt = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced\
Hidden = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden = 0
每隔1分钟从以下网址下载病毒程序:
http://sss.xxxxxx.com/url.txthttp://sss.xxxxxx.com/IE.txt 每隔1秒查找360安全卫士进程,如果找到则结束该进程。修改系统时间为2000年,使得卡巴斯基杀毒软件失效。病毒每隔0.2秒把自己复制到本地所有磁盘中,添autorun.inf文件使得用户打开磁盘时同时运行病毒。最后病毒每隔5秒进行以下操作:
查找有以下字符串的窗口并发送WM_CLOSE消息关闭该窗口: 检测、木马、病毒。修改以下注册表键值使得修改IE主页失效。
HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\
HomePage = 1
删除用户系统中所有的.GHO文件
