魔笛斯加密難清除 克萊客遠程控制計算機

【賽迪網-IT技術報道】據江民反病毒中心監測資料顯示，上周該中心共截獲新病毒22401種，全國共有377462台計算機感染了病毒，較前一周下降了8.7%。其中「Flash蛀蟲」變種和「網游竊賊」變種mef病毒均有明顯上升趨勢，用戶需提高警惕。

值得引起關注的是，上周監測到的「魔笛斯」變種d病毒，該病毒會將一些關鍵性的資料信息加密存放在木馬驅動程序文件體內，用戶感染病毒後很難清除乾淨。同時該病毒會致使某些安全軟體的主動防禦功能失效（無法關閉江民殺毒軟體KV2008），防止自身以及木馬主程序被安全軟體所查殺，嚴重威脅用戶計算機系統的安全。

另外上周還監測到一個可以遠程控制被感染計算機的「克萊客」變種au病毒，駭客可以通過該病毒對被感染計算機執行包括：文件操作，進程操作，註冊表操作，服務操作，屏幕監控，鍵盤記錄，攝像頭抓圖，命令操作等惡意操作，同時該病毒還能在後台秘密收集被感染計算機的系統名稱、用戶賬號等敏感信息，下載大量的惡意程序並在被感染計算機上自動運行，給用戶的計算機安全和個人隱私，甚至商業機密造成嚴重威脅。

江民反病毒專家建議廣大用戶，一定要選用具備「主動防禦」和「自我保護」功能的殺毒軟體，上網時要開啟江民殺毒軟體的實時監控功能。同時專家特別指出，江民殺毒軟體KV2008擁有強大的自我保護技術，能夠利用驅動程序在系統最底層提供強大而全面的保護，該保護措施阻止了目前所有已知的破壞手段，保證了軟體的順利運行。

上周值得關注的典型病毒：「魔笛斯」變種d和「克萊客」變種au

病毒名稱：Trojan/Multis.d

中 文 名：「魔笛斯」變種d

病毒長度：8832字節

病毒類型：木馬

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Multis.d「魔笛斯」變種d是「魔笛斯」木馬家族的最新成員之一，採用高級語言編寫。「魔笛斯」變種d是由某木馬程序釋放出來的驅動文件，採用高級ROOTKIT技術編寫而成，一般被註冊為設備驅動，以實現木馬程序開機自動運行。「魔笛斯」變種d運行後，恢復系統SSDT，致使某些安全軟體的主動防禦功能失效。通過HOOK SSDT以及HOOK IRP來隱藏病毒進程、病毒文件和病毒在註冊表中的啟動項，防止自身以及木馬主程序被安全軟體所查殺。其中，一些關鍵性的資料信息在木馬驅動程序文件體內是加密存放的，一旦用戶計算機系統感染該病毒，則很難清除乾淨。

病毒名稱：Worm/Kolabc.au

中 文 名：「克萊客」變種au

病毒長度：368128字節

病毒類型：蠕蟲

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

Worm/Kolabc.au「克萊客」變種au是「克萊客」蠕蟲家族的最新成員之一，採用高級語言編寫，並經過添加保護殼處理。「克萊客」變種au運行後，自我複製到被感染計算機系統的「%SystemRoot%/system32」目錄下，重命名為「schrars.exe」。自我添加為系統服務，實現蠕蟲開機自動運行。在後台秘密收集被感染計算機的系統名稱、用戶賬號等敏感信息，並提交到駭客指定的伺服器上。在被感染計算機的後台連接駭客指定站點，下載大量的惡意程序並在被感染計算機上自動運行。所下載的惡意程序可能包含網游木馬、惡意廣告程序、後門等，給用戶帶來不同程度的損失。與駭客指定的伺服器站點建立網絡連接，駭客可通過「克萊客」變種au遠程控制被感染的計算機，可執行的惡意操作包括：文件操作，進程操作，註冊表操作，服務操作，屏幕監控，鍵盤記錄，攝像頭抓圖，命令操作等，給用戶的計算機安全和個人隱私，甚至商業機密造成嚴重威脅。另外，「克萊客」變種au還具有自我刪除的功能，以便消除痕跡。

(