• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

「武裝下載器」關閉系統自帶錯誤報告服務

【賽迪網-IT技術報道】本周(2008年4月21日至2008年4月27日)重點關注病毒「武裝下載器69632」(Win32.Troj.DownLoaderT.dl.69632)。

「武裝下載器69632」(Win32.Troj.DownLoaderT.dl.69632) 威脅級別:★★

具備對抗殺毒軟體功能的下載器依然層出不窮,只要做木馬能帶來暴利,病毒作者們總會樂不知疲地研究入侵他人電腦的技術。

這個病毒進入系統後,會立即篡改註冊表,關閉系統自帶的錯誤報告服務(ERSvc),這樣一來,無論它接下去如何做小動作,系統都無法向用戶報告異常。當然,僅僅關閉系統自身服務是不夠的,病毒還得對付殺毒軟體。因此,該毒接下來就會修改系統時間為2005年,讓所有依賴系統時間進行激活和升級的殺毒軟體失效。該毒也會嘗試搜索毒霸的進程,向其「操作」菜單發送「退出」命令,不過經檢查,這一動作無法實現。

在解除電腦武裝的同時,病毒修改註冊表,將自己設置為啟動項,實現開機自動運行。如果注意檢查註冊表,可發現病毒啟動項的服務名稱、顯示名稱、描述都為dd33gsd2。習慣手動查殺的用戶,可以根據這一線索清除病毒。

最後,病毒連接病毒作者指定的遠程地址http://al**a.ve**nx.cn/,下載木馬地址列表,再根據其中的信息下載大量其它病毒到用戶電腦中運行,引發更多的破壞。

此外,為擴大傳播範圍,病毒會在系統盤根目錄下生成AUTO病毒文件auto.exe和autorun.inf,只要用戶在中毒電腦上使用USB隨身碟等移動儲存設備,病毒就會傳染上去。

此外值得關注病毒

「鍵盤記錄員108627」(Win32.PSWTroj.OnLineGames.xn.108627) 威脅級別:★★

此篇預警播報中的病毒,是一個非常貪心的木馬程序。它不僅僅是竊取網絡遊戲的賬號,任何輸入電腦的資料都會被它悉數盜走。

木馬在系統中釋放完文件後,首先會修改SSDT(系統服務調度表),從而解除各種具有主動防禦功能的殺毒軟體的武裝。然後,它修改註冊表中的相關資料,把病毒文件屬性設置為「系統」、「隱藏」和「只讀」,並將顯示模式鎖定為隱藏,讓用戶無法發現病毒文件。

接下來,病毒啟動監視程序,監視用戶的鼠標、鍵盤操作,從而記錄下用戶操作電腦時輸入的各種信息。並每隔一段時間,就將這些偷到的信息加密,以郵件的形式通過SMTP通信協議和網頁收信空間發送給木馬作者。所謂的SMTP,是一種可以免除驗證的通訊方式,能為WINDOWS系統用戶之間的通訊提供便利,但也因此而被一些病毒作者所利用。

由於是採取完整的鍵盤記錄,用戶在中毒電腦上輸入的所有信息都會被病毒作者所掌握。他只需經過簡單的分析和篩選,便可從中找到用戶輸入的各種賬號和密碼,甚至可以掌握用戶的個人隱私。

習慣手動查殺的用戶,請留意病毒釋放出的以下文件,分別為%WINDOWS%/system32/目錄下的mmvo.exe和mmvo0.dll,以及系統臨時目錄%Temp%中的一個隨機命名的.dll格式文件。一定要將它們清除,系統才可恢復正常。

「大胃王盜號者57344」(PE.Win32.PSWTroj.OnLineGames.ai.57344) 威脅級別:★

這個盜號木馬的作案目標非常之廣,所有在進程窗口中包含有「遊戲」字樣的網絡遊戲,都是它的作案對象,只要它能在用戶電腦中順利運行起來,便可以如同大胃王一般將用戶電腦中的遊戲賬號悉數吞吃。

病毒在進入系統後立即在系統盤中釋放出兩個病毒文件,分別為%WINDOWS%/目錄下的winform.exe和%WINDOWS%/temp/目錄下的winform.dll。其中winform.exe是病毒的主文件,它的相關資料會被寫入系統註冊表,以實現開機自啟動。而winform.dll則負責注入系統桌面進程,在其中查找進程窗口中帶有「遊戲」字樣的程序,如果發現,就注入遊戲的記憶體空間,讀取賬號和密碼資料。習慣手動查殺的用戶,請留意這兩個文件,只要刪除它們,再清理乾淨註冊表,就能清除該毒了。

作案成功後,賬號信息會被發送到病毒作者指定的地址,給用戶造成虛擬財產的損失。不過由於技術含量不高,大部分安全軟體都可以查殺它。但由於此類病毒近日出現頻率較高,因此發出預警,向廣大用戶作為通報。

金山毒霸反病毒工程師建議

1.請及時更新您的殺毒軟體,網絡版可以通過控制台執行全網升級。

2.建議手動或使用毒霸來關閉自動播放功能,防止病毒利用USB隨身碟等可移動設備來進行傳播。

3.最好安裝專業的殺毒軟體進行全面監控。建議用戶安裝反病毒軟體防止日益增多的病毒,用戶在安裝反病毒軟體之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、記憶體監控等,遇到問題要上報, 這樣才能真正保障計算機的安全。

(

加入好友line@vga9721w
線上客服
@hd119