• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

一種偽裝成即時通訊工具「百度HI」的病毒

江民反病毒中心發佈病毒警報,一種偽裝成百度即時通訊工具「百度HI」的病毒正在通過網絡加速傳播,該病毒最早在上週五(2月29日)被首次截獲。病毒傳播者利用近期倍受關注的百度即將推出即時通訊工具「百度HI」的熱點新聞,在各大論壇以及貼吧裡發佈下載鏈接,假冒「百度HI」即時通訊軟體誘使用戶下載。

江民反病毒專家介紹,該病毒是一個遠程控制後門程序,和「灰鴿子」的功能十分相似。中毒後電腦會變成網絡殭屍,駭客可以遠程任意控制被感染的計算機,還可以竊取用戶計算機裡所有的機密信息資料。

病毒運行後,在「C:/WINDOWS」目錄下生成病毒文件nod32.exe,文件屬性設置為:只讀、系統隱藏、存檔。病毒在後台調用系統「C:/windows/system32/svchost.exe」進程,把惡意可執行代碼都注入到該進程中,然後調用執行。病毒通過此舉隱藏自身,使普通用戶很難發覺。病毒還會使用剛剛調用起來的系統「svchost.exe」進程把病毒程序「C:/WINDOWS/nod32.exe」文件以獨佔的方式打開,在不關閉「svchost.exe」進程的情況下,用戶根本無法手工刪除病毒主程序。

讓江民反病毒專家疑惑的是,假「百度HI」病毒在記憶體放一些IP地址資料,分析顯示該IP地址來自美國,但無從知曉該IP地址的具體用途。

分析還顯示,病毒運行後通過一個位於廣東省東莞市的IP地址實現通訊,通訊端口為OICQ Server[8000],病毒運行後,會將自身安裝程序刪除,這樣除了注入到svchost.exe內的可執行代碼之外,系統內沒有任何該病毒的文件。

針對該病毒,江民殺毒軟體KV2008已即時升級,用戶只需正常升級最新病毒庫,即可有效防殺該病毒。沒有安裝江民殺毒軟體的用戶,可以下載安裝江民假「百度HI」病毒專殺工具,免費對電腦進行全面查殺,專殺下載地址:http://download.jiangmin.info/jmsoft/FakeBaiduHiKiller.exe

加入好友line@vga9721w
線上客服
@hd119