“局域网监视器”网内抓肉鸡窃商业机密

7月29日,金山毒霸全球反病毒监测中心发布周(7.28-8.3)病毒预警,本周一种针对局域网的感染型的后门程序"局域网监视器5120"需警惕。病毒在局域网内找寻肉鸡,控制其系统,企图盗窃企业用户的商业数据,并指挥肉鸡向整个网络发起攻击,感染更多电脑。

金山毒霸反病毒专家李铁军表示,此木马程序针对局域网具有较强的感染能力。它会扫描本地磁盘的文件进行感染,同时枚举局域网内资源,通过感染局域网内共享文件进行传播。它会打开端口监听,在后台执行黑客命令,这样用户的电脑就处于极度危险状态中。

李铁军分析指出,病毒进入电脑后,把自身drone.exe拷贝到系统目录%windows%system32中,并注册一个名为drone的服务启动项,实现开机自启动。然后开启一个线程,循环从C:盘到Z:盘查找文件,感染除windows、winnt、progam files外所有目录中的文件。只要用户复制这些文件到别的电脑上,病毒就可以实现传播。同时,病毒程序不停的枚举局域网内的机器,利用共享文件的安全漏洞来感染它们的文件,从而实现在局域网内的传播。最后,病毒程序打开一个线程,在30467端口上监听,连接病毒作者(黑客)的服务器。黑客利用这个后门,就可以随时自由浏览用户的电脑,并任意控制系统。由于此木马是通过后台开启cmd执行命令,因此较隐蔽。

据了解,本周内广大电脑用户除了需要警惕 "局域网监视器5120"(Win32.Erone.a.5120) 之外,还需要特别警惕"AUTO病毒下载器258053"(Worm.AutoRun.m.258053)与"冒牌杀软下载器106156"(Win32.Troj.GuiseAV.rs.106156)两大病毒。前者是个木马下载器。运行后会在后台悄悄下载大量的木马病毒文件并运行。此毒还会在所有磁盘分区的根目录下创建AUTO病毒,以便传播自己。并利用映像劫持,令安全软件失效;后者是个经过伪装的木马下载器。它利用电脑用户对于屏保退出的方法不熟悉,以及用户们对安全的渴望,在电脑中伪造系统崩溃现象,欺骗用户下载一个所谓的"杀毒软件"。

奥运将至,网络上各种以奥运为主题的视频、图片极有可能被病毒利用,成为病毒传播的诱饵。金山毒霸反病毒专家提醒广大用户,升级金山毒霸到2008年7月28日的病毒库查杀病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒http://shadu.duba.net/来防止病毒入侵。