| 出版日期:2004-9-27 总期号:587 本年期号:37 |
|
 |
空手降服野兽
海浪轻风 打“鬼”遇“鬼” 某日,刚输入密码登录建设银行网上银行系统,防火墙立刻弹出病毒警告提示框,从病毒名称“Win32.Hack.Agobot.Ge.274432”判断,这可能是“高波”病毒的新变种。当时吓了我一跳,要知道账号上刚存入2000多元。连忙断开网络,清除病毒。然后打开病毒日志文件查看,被删除的病毒文件分别为“Explorrer.exe”和“winhlpp32.exe”(请注意病毒文件名试图伪装成资源管理器和Windows帮助文件),路径都位于“E:\WINDOWS\system32\”目录下,属于“高波”病毒的新变种,具有木马和蠕虫的双重特点。接着打开注册表编辑器,搜索“Explorrer.exe”和“winhlpp32.exe”这两个关键词,找到后删除这些键值。正要关闭注册表编辑器时,意外发现了在[HKEY_CURRENT_USER\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下还隐藏着“"COM Service" = %WinDir%\msagent\mslsqn.com”这个陌生的键值,从路径和文件名看非常可疑,也许这次并非只遭遇一种病毒。 “野兽”病毒特征 经查发现原来这种没有扫描到的是“野兽”木马病毒(Backdoor/Beast.207)的最新变种,主要通过网络进行传播,属于反弹端口型木马,可以穿透一般防火墙。该病毒几乎囊括了“网银大盗”和“蜜蜂大盗”的全部功能,通过键盘记录可以盗取用户的所有上网信息,可以远程控制用户电脑,任意上传和下载文件,偷窥用户隐私等。为了隐藏自己,还会自动杀掉某些防火墙的进程。该病毒的感染方式和启动方式不是固定的,除了采用一般手段通过修改注册表添加启动项来加载自己以外,还可以利用线程插入技术,把自己注入到“explorer.exe”、“IE 浏览器”和“notepad.exe”等系统文件进程中,给用户的察觉和查杀带来了很大困难。 手动清除方法 1. 打开注册表编辑器,通过查看[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下病毒添加的启动项,初步判断病毒文件名和路径。例如“"COM Service" = %WinDir%\msagent\ mslsqn.com”。 2. 重新启动计算机到安全模式下,通过搜索功能查找病毒文件并删除它。同时还要删除以下文件: %WinDir%\dxdgns.dll;%SystemDir%\config\sam.log;%SystemDir%\msfrhc.com; %SystemDir%\mslg.blf。 3. 清除注册表中病毒的启动项,为了防止遗漏,最好把病毒库升级为最新版,对硬盘作一下全面扫描。 防范措施 1. 进行网上支付时,登录密码尽量使用密码输入器输入,这样可以防止键盘记录的病毒和木马监听。 2. 当发现中了病毒以后,清除以后应及时更换密码。如果发现密码被盗,可以到银行网点终止网上银行服务,这样可以最大限度地减少损失。 3. 进行网上支付时,尽量使用数字证书进行保护,这样可以防止数据被监听、窃取和截留。 |
||||||||||||||||||||
