网络行业协会、江民联合发布12月16日热门病毒预警

一剑飘零

江民今日提醒您注意：在今天的病毒中backdoor/sdbot.ata“赛波”变种ata和i-worm/doombot.b“死亡之波”变种b值得关注。

病毒名称：backdoor/sdbot.ata
中 文 名：“赛波”变种ata      
病毒长度：可变
病毒类型：后门
危害等级：★★
影响平台：win 9x/me/nt/2000/xp/2003
backdoor/sdbot.ata“赛波”变种ata是一个利用kazaa共享及mirc传播的后门。该后门不仅传播给已经感染后门的用户计算机，而且利用密码字典破解弱密码进行网络共享传播。“赛波”变种ata运行后，自我复制到系统目录下。修改注册表，实现开机自启。在kazaa上创建共享目录，利用某些常用软件的名称自我复制到kazaa共享目录下，欺骗他人下载。连接指定的irc服务器，侦听黑客指令，上传或下载升级文件，终止某些杀毒软件的进程，对指定目标执行dos攻击等。在已开启的窗口中搜索与网上银行、在线支付相关的字符串，一经发现便开始记录键击，盗取用户账号密码，并禁止用户通过合法账号进行在线交易。利用密码字典破解弱密码共享，自我复制到共享目录下，进行网络共享传播。该后门还利用多个微软漏洞进行传播。另外，“赛波”变种ata释放另一病毒，隐藏自我，防止被查杀。

病毒名称：i-worm/doombot.b
中 文 名：“死亡之波”变种b      
病毒长度：42512字节
病毒类型：网络蠕虫
危害等级：★★
影响平台：win 9x/me/nt/2000/xp/2003
i-worm/doombot.b“死亡之波”变种b是一个利用群发带毒邮件和用户计算机系统漏洞进行传播的网络蠕虫。“死亡之波”变种b运行后，自我复制到系统目录下。在任意端口开启后门，自我注册为服务。修改注册表，终止windows 2000/xp的网络共享服务，阻止windows xp sp2安装在被感染计算机上。自我复制到共享文件夹下，诱导用户下载并执行“死亡之波”变种b。连接指定的irc服务器，侦听黑客指令，记录键击，盗取用户网上银行、在线交易用户的机密信息；终止与安全相关的进程；对指定站点执行dos攻击；开启本地的http、ftp或tftp服务器等。利用密码字典破解弱密码，自我复制到共享目录下，实现网络共享传播。从被感染计算机上搜索有效邮箱地址，利用自带smtp引擎群发带毒邮件。在被感染的计算机上释放其它病毒，隐藏自我，防止被查杀。搜索有漏洞的用户计算机，利用微软漏洞进行传播。另外，“死亡之波”变种b还可以自升级。


针对目前日益猖獗的恶意（流氓）软件，江民科技反病毒中心强烈建议您采用以下的技术措施防范已知或者未知的恶意（流氓）软件：

1、开启江民杀毒软件“工具”里的“安全助手/流氓软件清除”功能，该功能可在尊重用户意愿的前提下，卸载或者清除已知的流氓软件。
2、开启江民杀毒软件“工具”里的“未知病毒检测”功能，该功能可扫描出绝大多数未知流氓或者恶意软件，帮助用户及时、有效清除未知流氓或恶意软件。

同时，您还应该结合江民杀毒软件的“系统监控”功能来实时监视和防范众多未知的恶意（流氓）软件：

（1）右击右下角k图标快捷菜单中的“允许系统监控”功能，该功能可对系统各种操作行为进行实时监控、主动防御并报警，及时提醒用户清除恶意（流氓）软件。
（2）打开江民杀毒软件“工具”里的“进程查看器”，该功能可列出所有被恶意隐藏的进程，帮助用户终止恶意流氓恶意软件的进程。
（3）打开江民杀毒软件“工具”里的“查找被病毒隐藏的文件”，该功能可完全扫描出用户计算机所有的被恶意隐藏的文件，适合于对付那些采用了rootkit技术的恶意程序。
（4）打开江民杀毒软件“工具”里的“查找被隐藏的注册表项”，该功能可全面扫描出所有被恶意隐藏的注册表项，让采用rootkit技术隐藏的恶意软件无处躲藏。

一剑飘零

网络行业协会、瑞星联合发布12月16日热门病毒预警

  
    据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“撕扯rootkit变种ae（rootkit.torn.ae）”病毒。“撕扯rootkit变种ae”是rootkits程序，病毒用它来隐藏自身，防止被用户及杀毒软件发现、清除。

本日热门病毒：

    “撕扯rootkit变种ae（rootkit.torn.ae）”病毒：警惕程度★★★☆，rootkits程序，通过网络传播，依赖系统：win 9x/nt/2000/xp。
这是一个rootkits程序，它会通过钩挂系统api函数来对病毒进行保护。该rootkits运行后会钩挂系统api函数来隐藏病毒文件。同时还会保护内存中的病毒进程及其线程不被打开。
由于该rootkits通过钩挂系统api对病毒文件及内存中的进程等进行隐藏，因此用户和杀毒软件都无法发现并清除它们。
瑞星卡卡上网安全助手3.1的“碎甲”技术可以使rootkits失效，从而让该rootkits和被其保护的病毒文件暴露在杀毒软件面前。

   反病毒专家建议电脑用户采取以下措施预防该病毒：1、登录http://tool.ikaka.com，下载并安装免费的瑞星卡卡3.1。2、点击“立即升级”按钮，升级到最新版本，重新启动计算机。3、升级杀毒软件到最新版本，进行全盘扫描。

一剑飘零

网络行业协会、金山联合发布12月16日热门病毒预警


北京信息安全测评中心、金山毒霸联合发布2006年12月16日热门病毒     

   今日提醒用户特别注意以下病毒：“传奇大盗变种cz”(troj.pswlmir.cz)和“下载者”(troj.downlaod.ut)

   “传奇大盗变种cz”(troj.pswlmir.cz)木马病毒，监控网络游戏“传奇”客户端程序，盗取游戏账号、密码、游戏装备信息等，给玩家用户造成一定经济和精神上的损失。

   “下载者”(troj.downlaod.ut)木马病毒，从网上下载并安装可显示农历日期软件，该病毒随开机自启动。

           一、 “传奇大盗变种cz”(troj.pswlmir.cz)  威胁级别：★★

    据金山毒霸反病毒工程师介绍，这是一个专门偷盗“传奇”网络游戏的游戏重要信息的木马病毒。病毒在目标系统中生成以下病毒文件：%system%\lilix.dll、%system%\dlilix.dll、%system%\lilix.exe、%system%\user.ini，并将特定键值添加到启动项。该病毒通过监控传奇游戏客户端程序，盗取游戏账号、密码、游戏装备信息等重要信息，并发送到特定网站，给玩家用户造成一定经济和精神上的损失。

          二、 “下载者”(troj.downlaod.ut)   威胁级别：★

    据金山毒霸反病毒工程师介绍，这是一个可下载并安装显示农历日期软件的广告木马。该病毒将从网上下载并安装名为“winkld”的日期插件软件，病毒运行时无任何提示给用户，并通过添加服务启动项达到随开机自启动。     

金山反病毒工程师建议：

     1.请您不要轻易运行从internet下载后未经杀毒软件处理的文件，强烈建议您先用最新病毒库的毒霸进行扫描，然后决定是否运行。

     2.当操纵者控制用户电脑时，就可直接导致用户的信息被泄露， 为了您系统和个人信息的安全，专家建议用户在打开一个陌生文件时，请用最新病毒库的杀软进行扫描。