“驻邮虫”让邮件带毒

gao0907

“驻邮虫”让邮件带毒

TrojanDownloader.ACVE.j“反杀者”变种j是“反杀者”木马下载器家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“反杀者”变种j运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“woauolt.exe”。修改注册表，实现“反杀者”变种j开机自动运行。在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目录下分别释放病毒文件“doscmda.dll”、“wbosakji.sys”。在被感染计算机的后台遍历当前系统中的所有进程，一旦发现某些与安全相关的进程便会尝试结束其进程，试图将其关闭。利用进程映像劫持功能，试图屏蔽用户系统中某些安全软件的运行；利用域名映像劫持功能，在被感染计算机的后台强行篡改系统的Hosts文件，屏蔽某些安全站点，阻止用户对这些安全网站的访问，从而达到自己保护的目的。“反杀者”变种j还会在被感染计算机系统的后台连接骇客指定远程服务器站点，获取配置文件“o.jpg”，根据该文件中的设置执行相应的恶意操作。“反杀者”变种j还会在被感染计算机系统的后台连接骇客指定远程服务器站点，发送统计信息。另外，“反杀者”变种j主程序在被感染计算机系统中安装完毕后会将自身的安装程序删除掉，达到消除痕迹的目的。
I-Worm.Joleee/i“驻邮虫”变种i是“驻邮虫”蠕虫家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“驻邮虫”变种i隐藏在被感染计算机系统的“%SystemRoot%\”目录下，把自身伪装成系统进程名“services.exe”，防止被用户发现。在被感染计算机系统注册表启动项中添加键值，实现网络蠕虫开机自动运行。“驻邮虫”变种i具有读文件和写文件的功能，可能会在被感染计算机系统的后台窃取用户机密信息等，给用户的计算机安全带来一定的威胁。另外，“驻邮虫”变种i还可能会通过电子邮件进行自我传播，从被感染计算机上搜索有效的邮箱地址，利用被感染计算机群发带毒邮件。
针对以上病毒，江民反病毒中心建议广大电脑用户：
    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打好了坚实的基础和前提。
    5、请不要随意打开邮件中给出的链接以及附件，尤其是来历不明的邮件，以免中毒。
    6、江民杀毒软件新增“沙盒”技术，“沙盒”系统在本机上接管与系统接口（API）相关的所有行为，如发现系病毒行为，则会执行“回滚”机制，将病毒执行的动作和留下的痕迹抹去，恢复系统到正常状态。
    7、江民杀毒软件能够检测并自动修复系统漏洞，阻止病毒通过漏洞传播。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp