本来是不想转这类文章的,但是鉴于最近"魔波"病毒比较猖獗,是既"冲击波","振荡波","狙击波"后的又一"波",事关重大,于是转之~
在今天的病毒中Backdoor/SdBot.dxd“赛波”变种dxd、TrojanDownloader.Delf.aco“TrojanDownloader.Delf”变种aco、Worm.Mocbot.a/b“魔波”、“魔波”变种B和Trojan.Proxy.Ranky.awp“等级代理”木马变种AWP值得关注。
其中“魔波”肆虐,沪宽带用户大规模中毒导致断网。微软已经推出MS-06-040补丁程序以防范“魔波”攻击。江民公司和金山公司都已经推出专杀工具。[下载江民专杀工具、下载金山专杀工具]
病毒名称:Backdoor/SdBot.dxd
中 文 名:“赛波”变种dxd
病毒长度:可变
病毒类型:后门
危害等级:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Backdoor/SdBot.dxd“赛波”变种dxd是一个利用Kazaa共享及mIRC传播的后门。该后门不仅传播给已经感染后门的用户计算机,而且利用密码字典破解弱密码进行网络共享传播。“赛波”变种dxd运行后,自我复制到系统目录下。修改注册表,实现开机自启。在Kazaa上创建共享目录,利用某些常用软件的名称自我复制到Kazaa共享目录下,欺骗他人下载。连接指定的IRC服务器,侦听黑客指令,上传或下载升级文件,终止某些杀毒软件的进程,对指定目标执行DoS攻击等。在已开启的窗口中搜索与网上银行、在线支付相关的字符串,一经发现便开始记录键击,盗取用户账号密码,并禁止用户通过合法账号进行在线交易。利用密码字典破解弱密码共享,自我复制到共享目录下,进行网络共享传播。该后门还利用多个微软漏洞进行传播。另外,“赛波”变种dxd释放另一病毒,隐藏自我,防止被查杀。
病毒名称:TrojanDownloader.Delf.aco
中 文 名:“TrojanDownloader.Delf”变种aco
病毒长度:266752字节
病毒类型:木马下载器
危害等级:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Delf.aco“TrojanDownloader.Delf”变种aco是一个木马下载器,开启特定的IRC通道,盗取网上银行、在线交易用户输入的帐户和密码。“TrojanDownloader.Delf”变种aco运行后,自我复制到系统目录下,并在系统目录下释放一个黑客工具,文件名是xee32.dll。修改注册表,实现开机自启。在已开启的窗口搜索与输入网上银行、在线交易用户帐户密码相关的主题,一经发现便开始记录键击,盗取用户机密信息。开启TCP 1051端口,连接指定的IRC服务器,侦听黑客指令,开启或终止某些特定的进程和服务,删除或修改文件夹,对指定目标执行DDoS攻击,利用被感染的计算机转发垃圾邮件等。修改hosts文件,阻止用户对某些常见安全网站的访问。另外,“TrojanDownloader.Delf”变种aco还可以自升级。
病毒名称:Worm.Mocbot.a/b
中 文 名:“魔波”、“魔波”变种B
病毒类型:蠕虫
危害等级:★★★★
影响平台:Win 9X/NT/2000/XP
该病毒会利用微软MS06-040高危漏洞进行传播。会自动在网络上搜索具有系统漏洞的电脑,并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。当用户的计算机遭受到该病毒攻击时,会出现系统服务崩溃,无法上网等症状。
图1 病毒症状一
图2 病毒症状二
感染该病毒的计算机会自动连接特定IRC服务器的特定频道,接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内,因此该病毒很有可能为国人编写。
病毒名称:Trojan.Proxy.Ranky.awp
中 文 名:“等级代理”木马变种AWP
病毒类型:木马
危害等级:★★★
影响平台:Win 9X/NT/2000/XP
该木马病毒由“魔波”病毒自动从互联网上下载。运行后会将自身复制到系统目录下,文件名为“nrcs.exe”。同时,它会修改注册表启动项目,实现随系统启动自动运行。该病毒会在染毒计算机上一个随机的TCP端口开置后门,使用户计算机可被黑客远程控制。
注:此文是根据金山和瑞星公司的病毒播报摘编。
参考文章: