近日,国内最大的计算机反病毒软件供应商江民科技发布了2006年上半年十大病毒排行并公布了十大病毒的防治办法。
十大病毒中,“灰鸽子”木马及其变种以其广泛的传播性和极高的危害特征名列十大病毒之首,成为2006年上半年名副其实的“毒王”。以窃取“传奇”等网络游戏账号为目的“传奇木马”名列第二,而以制造“僵尸网络”的BOT类病毒“高波”和“瑞波”并列第三名。此外,攻击微软IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本CHM木马以及攻击微软2006年首个0day漏洞(MS06-001)WMF木马名列十大病毒第四、第五位,通过QQ传播的盗窃“传奇”号码的“QQ大盗”病毒名列第六,同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点的“维京”病毒名列第七,以盗取QQ或网络游戏的帐号密码为目的“传华木马”名列十大病毒之八,窃取工行网上银行的“工行钓鱼木马”以及国内首例敲诈用户钱财的“敲诈者”病毒分别名列十大病毒第九、第十位。
据江民科技反病毒中心统计,从2006年1月1日到2006年6月28日,反病毒中心共截获新病毒33358种,江民KV病毒预警中心显示,1至6月全国共有7322453台计算机感染了病毒,监测发现新老病毒发作次数总计178931441次(包括同台电脑同一病毒感染多种文件数)。
2006年上半年十大病毒防治办法如下:
一、灰鸽子
Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例,该变种运行后,会自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗取用户机密信息,例如用户拨号上网口令,URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外,“灰鸽子”变种cm可下载并执行特定文件,发送用户机密信息给黑客等。
解决办法:
1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。
2、手工清除:运行REGEDIT命令打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001Services\GrayPigeonServer ,将该键值删除,然后进入 X:\windows(X:代表系统盘),设置显示所有文件(或显示隐藏文件),找到G_server.exe和G_server.dll以及G_server_hook.dll三个文件,正常模式下,无法删除这三个文件,通过重启电脑到安全模式下或使用第三方强力删除工具将三个文件删除。江民未知病毒检测有效清除病毒文件。
二、传奇窃贼
传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启。窃取“传奇2”帐号密码,并将盗取的信息发送给黑客。
1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。
2、手工清除:
在系统文件夹里面找到logo1_.exek文件并将其删除。
三、高波和瑞波
高波: Backdoor/Agobot.** “高波”主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限,允许黑客利用IRC通道远程进入用户计算机。该程序运行后,程序文件自我复制到系统目录下,并修改注册表,以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道,侦听黑客指令。
瑞波:该病毒经过多层压缩加密壳处理,可以利用多种系统漏洞进行传播,感染能力很强。中毒计算机将被黑客完全控制,成为"僵尸电脑"。由于此病毒会扫描感染目标,因此可以造成局域网拥堵。
高波:
1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。
2、高波手工清除:打好微软MS03-007、MS03-026、MS04-011、MS04-031补丁,在系统目录下找到病毒文件名为Medman.exe,并将其删除。
瑞波手工清除:在系统目录下找到病毒文件msxml32.exe,在注册表中找到键值msxml32.exe,将其删除。打上微软MS03-007、MS03-026、MS04-011、MS04-031四个漏洞补丁。
四、CHM木马:
CHM木马利用IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本,
自从2003年以来,一直是国内最为流行的种植网页木马的恶意代码类型,
2005年下半年,泛滥趋势稍有减弱,2006年上半年的感染数量仍然很大,
没有短期内消亡的迹象。
1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。
2、手工防治:打上微软MS03-014和MS04-023系统漏洞补丁,找到以下病毒和配置文件并将其删除:
%SystemDir%\dllcache\pk.bin, 3680字节,病毒配置文件
%SystemDir%\dllcache\phantom.exe, 393216字节,病毒程序
%SystemDir%\dllcache\kw.dat, 803字节,病毒配置文件
%SystemDir%\dllcache\phantomhk.dll, 8704字节,病毒模块
%SystemDir%\dllcache\phantomi.dll, 215040字节,病毒模块
%SystemDir%\dllcache\phantomwb.dll, 40960字节,病毒模块
在注册表中定位到键值,并将该键值删除。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom" = %SystemDir%\dllcache\phantom.exe
五、wmf恶意文件
Exploit.MsWMF.a“WMF漏洞利用者”变种a是一个利用微软MS06-001漏洞进行传播的木马。如果用户使用未打补丁的Windows系统,在上网浏览、本地打开或预览恶意WMF文件时,自动下载网络上的其它病毒文件,侦听黑客指令,对用户计算机进行各种攻击。
1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。
2、手工防治:
下载安装微软ms06-001漏洞补丁,升级打开杀毒软件实时监控。
补丁下载地址: http://www.microsoft.com/china/technet/Security/bulletin/ms06-001.mspx
六、QQ大盗:
Trojan/QQPass.ak (QQ大盗)是用Delphi编写并经过压缩的木马,用来窃取游戏"传奇"信息。
1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。
2、手工清除:在系统目录找到病毒文件winsocks.dll和intren0t.exe,并将其删除。打开注册表并定位到以下键值,将键值删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intren0t" = %Windir%\intren0t.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Intren0t" = %Windir%\intren0t.exe
七、维京:
该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。
1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。
2、手工清除:在下列系统目录中找到相应病毒文件并删除:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll
定位到以下注册表键值并将其删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\Windows\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\Windows\\rundl132.exe"
八、传华木马:
出自同一个木马制作组织“传华”的若干木马变种。“传华木马”主要以盗取QQ或网络游戏的帐号密码为目的,变种极多,感染了大量用户。
1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。
2、手工清除:使用江民杀毒软件未知病毒检测,定位可疑概率高的进程,根据文件信息判断其是否病毒文件并将其删除。
九、工行钓鱼木马:
这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后,在系统目录下生成svchost.exe文件,然后修改注册表启动项以使病毒文件随操作系统同时运行。
病毒运行后,会监视微软IE浏览器正在访问的网页,如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码,并进行了提交,就会弹出伪造的IE窗,内容如下: “为了给您提供更加优良的电子银行服务,6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”
病毒以此诱骗用户重新输入密码,并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒,感染灰鸽子的用户系统将被黑客远程完全控制。
1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。
2、手工清除:在系统目录下找到svchost.exe病毒文件,并将其删除,打开注册表找到svchost.exe的关联键值,并将其删除。
十、敲诈者:
病毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹,名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”,同时搜索本地磁盘上的用户常用格式文档(包括.xls、.doc、.mdb、.ppt、wps、.zip、.rar),把搜索到的文件移动到上述备份文件夹中,造成用户常用文档丢失的假象。
解决方法一:
1、打开工具选项—〉文件夹选项—〉选择显示所有文件和文件夹并且将隐藏受保护的操作系统把文件前的√去掉。
2、将根目录下的名为“控制面板”隐藏文件夹用WinRAR压缩,然后启动WinRAR,切换到该文件夹的上级文件夹,右键单击该文件夹,在弹出菜单中选择"重命名"。
3、去掉文件夹名“控制面板”后面的ID号{21EC2020-3AEA-1069-A2DD-08002B30309D},即可变为普通文件夹了;也可直接进入该文件夹找回丢失的文件。
解决方法二:
针对病毒修改注册表键值隐藏用户文件的做法,江民反病毒专家认为破解起来并不困难,稍有注
册表常识的用户只需运行“regedit”,修改被病毒破坏的注册表为以下各个键值,这样就能显示隐藏
文件以及系统文件了……[全文]
解决方法三:
下载江民敲诈者专杀和修复工具。