Virus 版 (精华区)
发信人: zyw (秋风), 信区: Virus
标 题: 金山反病毒气象(2003年9月22日至9月28日)
发信站: 哈工大紫丁香 (2003年09月19日08:48:12 星期五), 站内信件
:金山反病毒气象(2003年9月22日至9月28日)
http://www.duba.net (2003-09-18 16:44) 文章来源:金山毒霸安全资讯网
金山反病毒应急中心本周进行升级包的更新,请用户尽快到金山毒霸网站
duba.net 下载升级包,以下是几个重要病毒的简介:
本周重点关注病毒:
恶意木马:“狩猎者”新变种(Troj.qqmsghao114 Troj.PopWeb) ★★★ 传播
方式:利用IE漏洞自动下载安装
利用QQ自动发送消息,骗取QQ上的网友点击消息中的网址。拥有该网址的网页
内嵌该木马。当没有打上IE的IFrame漏洞补丁的系统就会自动下载该木马并立即运
行。此次变种可能有自动更新的功能,并会下载另一个木马“Troj.PopWeb”。木马
“Troj.PopWeb”会随机打开程序设定的网址,通常,都是一些网站的广告网址,
其中会包含色情、违禁网站的广告。两种木马的同时工作,严重骚扰正常的网络使
用,而且会大量浪费系统和网络资源。“狩猎者”最新变种的改进,更说明了其潜
在的危险性,试想,如果被自动下载的木马是一个网游帐号盗取木马,那么使用该
系统的人就会造受经济损失了,所以查杀和防止此类病毒是迫在眉捷了。该木马安
装到系统后的特点:
1. Troj.QQmsghao114木马会修改IE的默认主页为 http://ww.hao114.com/home.htm ,
并在用户准备发送的QQ消息时, 自动将其网站的链接( hao114.com )加到消息中发
送出去,Troj.PopWeb木马会定时弹出一些网页。
2. Troj.QQmsghao114木马自我复制到系统目录,文件名为HEIBAI.exe。Troj.PopWeb
木马会被下载或是自我复制到系统目录,文件名为QUpdate.exe,该木马会在Win.ini中
加两个节:AutoTime和NextOpen,这两个节会指定其弹出网页的时间。
3.添加注册表的健值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加如下键值:
"HEIBAI.exe"="%system%\HEIBAI.exe" (Troj.QQmsghao114添加)
"load"="%system%\QUpdate.exe" (Troj.PopWeb.b添加)
手工清除方法:对于该木马最好的防御方法是打上IE的IFrame漏洞补丁,请使用
Windows 自带的“Windows Update”程序进行更新,建议升级IE浏览器的版本
到6.0。如果不幸感染了该木马,请使用进程管理器结束名为“HEIBAI.exe QUpdate”
的进程,并到系统目录下搜索和删除这此文件。最后,删除注册表中的以下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"HEIBAI.exe"="%system%\HEIBAI.exe"
"load"="%system%\QUpdate.exe"
注意:这类木马出自各个不良网站之手,会出现大量的变种,变化基本以进程名
不同、文件名不同、注册表键值不同、打开的网址不同。所以,应该多留意那些名字
奇怪的进程和[未结束]
--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 210.46.72.9]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:2.326毫秒