“木头鸽子”木马病毒开启后门盗取信息

安全在线7月9日报道 木头鸽子163840"(Win32.Troj.BhoT.ly.163840),这是一个类似灰鸽子的木马程序。它会在磁盘中释放出文件,然后连接到指定的远程地址,更新自己,并等待黑客的下一步指令。

"MX下载器259416"( Win32.Troj.DownloadMX.d.259416),这是一个木马下载器。它会从指定的地址下载病毒列表,再根据其中的地址去下载更多其它木马。

一、"木头鸽子163840"(Win32.Troj.BhoT.ly.163840) 威胁级别:★

这个远程木马和它的变种近来大量出现。许多毒霸用户反映,金山毒霸在他们的电脑上频繁拦截到这些木马的入侵。毒霸反病毒工程师认为,这是病毒犯罪团伙人为的广泛传播此木马所致。

病毒的原理并不复杂,进入系统后,它在系统盘中释放出一些病毒文件,比如%WINDOWS%uninstall目录下的rundl132.exe、%WINDOWS%目录下的Logo1_.exe、C%WINDOWS%TEMP目录下的$$a0199.tmp和$$a0199.bat等。

病毒将以上文件写入系统注册表,实现开机自启动,接着就在后台悄悄连接病毒作者指定的远程服务器,下载更新文件,让自己升级到最新版本。同时,它会等待病毒作者(黑客)的下一步指令。根据指令的不同,它能在中毒电脑中执行非法控制、盗取机密信息等各种行为,造成无法估计的损失。

二、"MX下载器259416"( Win32.Troj.DownloadMX.d.259416) 威胁级别:★

MX家族的病毒在网络上出现已有近一年的时间,近来它的变种数量增加较快,不过毒霸均可对其进行查杀,已安装毒霸的用户可以不必担心。

病毒进入系统后,会在%WINDOWS%SYSTEM32目录下生成病毒文件system.bak和yzztkmsn.dll,以及在%WINDOWS%SYSTEM32dllcache目录下生成病毒文件svchost.exe 。

当修改注册表启动项、实现开机自启动后,它就启动自己释放出的svchost.exe,由于此名称的文件即便在正常的系统中也会有多个,因此用户很难发现出现多余的进程。

此毒在此进程中运行,悄悄连接病毒作者指定的地址http://www.w***8.org/,下载一份病毒列表,再根据其中的地址,下载更多的其它病毒到用户电脑中运行。而这些病毒多为盗号木马。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。