3月22号反病毒企業病毒預警信息

發布日期:2011-07-24首頁 > 安全資(zī)訊
3月22号,反病毒企業提醒計算機用戶重點防範的病毒如下(xià)。(按拼音字母順序排序)


●江民公司

       江民今日提醒您注意:在今天的病毒中(zhōng)Trojan/Chifrax.afr“橘色誘惑”變種afr和Backdoor/PcClient.rma“友好客戶”變種rma值得關注。
英文名稱:Trojan/Chifrax.afr
中(zhōng)文名稱:“橘色誘惑”變種afr
病毒長度:251864字節
病毒類型:木馬
危險級别:★★
影響平台:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:a9b47caafe5d562dd9c5345bd05bcf95
特征描述:
    Trojan/Chifrax.afr“橘色誘惑”變種afr是“橘色誘惑”家族中(zhōng)的最新成員(yuán)之一(yī),采用“Microsoft Visual C++ 6.0”編寫。“橘色誘惑”變種afr運行後,會在被感染系統的“%SystemRoot%\Temp\”文件夾下(xià)釋放(fàng)惡意文件“server.exe”和惡意腳本文件“Setup.vbs”。通過“Setup.vbs”來啓動進程“server.exe”。“server.exe”運行後,會在系統盤根目錄下(xià)釋放(fàng)惡意DLL組件“file.tmp”,然後提升自身權限,将惡意代碼注入到系統進程“winlogon.exe”中(zhōng)。調用系統DLL組件“sfc.dll”中(zhōng)的2号函數,把“%SystemRoot%\system32\dllcache\”、“%SystemRoot%\\ServicePackFiles\i386\”、“%SystemRoot%\system32\”文件夾下(xià)的系統DLL“qmgr.dll”移動到“%SystemRoot%\”文件夾下(xià),重新命名爲“dll.bak”。之後,會将“file.tmp”複制到“%SystemRoot%\system32\dllcache\”、“%SystemRoot%\ServicePackFiles\i386\”、“%SystemRoot%\system32\”文件夾下(xià),重新命名爲“qmgr.dll”,以此替換系統文件。之後,其會删除“file.tmp”和系統盤根目錄下(xià)的“sfc.exe”。“server.exe”運行時,會秘密連接駭客指定的服務器“cr*cn.kmip.net”,偵聽(tīng)駭客指令,在被感染的計算機上執行相應的惡意操作。駭客可通過“橘色誘惑”變種afr完全遠程控制被感染的系統,不僅使系統用戶的個人隐私面臨着嚴重的威脅,甚至還會威脅到企業的商(shāng)業機密。“server.exe”在運行完成後會将自我(wǒ)删除,從而達到消除痕迹的目的。其會通過修改系統已有服務“BITS”的方式實現自動運行。

英文名稱:Backdoor/PcClient.rma
中(zhōng)文名稱:“友好客戶”變種rma
病毒長度:65281字節
病毒類型:後門
危險級别:★
影響平台:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:502d31b7b2d607e900a31ae140b6a9bd
特征描述:
    Backdoor/PcClient.rma“友好客戶”變種rma是“友好客戶”家族中(zhōng)的最新成員(yuán)之一(yī),采用“Microsoft Visual C++ 6.0”編寫。“友好客戶”變種rma運行後,會在被感染系統的“%SystemRoot%\system32\”文件夾下(xià)釋放(fàng)惡意DLL組件“jnojbe.dll”和惡意文件“000046613.001”。将“jnojbe.dll”插入到被感染系統的“svchost.exe”進程中(zhōng)隐秘運行。後台執行相應的惡意操作,以此隐藏自我(wǒ),防止被輕易地查殺。其會在被感染系統的後台連接駭客指定的站點“longxing.idc*0.net.cn/wen/”,讀取配置文件“wen.txt”,然後根據其中(zhōng)的設置下(xià)載惡意程序并自動調用運行。其所下(xià)載的惡意程序可能爲網絡遊戲盜号木馬、遠程控制後門或惡意廣告程序(流氓軟件)等,給用戶造成了不同程度的損失。秘密連接駭客指定的服務器,偵聽(tīng)駭客指令,在被感染的計算機上執行相應的惡意操作。駭客可通過“友好客戶”變種rma完全遠程控制被感染的計算機系統,不僅使系統用戶的個人隐私面臨着嚴重的威脅,甚至還會威脅到企業的商(shāng)業機密。“友好客戶”變種rma在運行完成後會創建批處理文件并在後台調用執行,以此将自身删除。另外(wài),“友好客戶”變種rma會在被感染計算機中(zhōng)注冊名爲“svchosts”的系統服務,以此實現自動運行。

針對以上病毒,江民反病毒中(zhōng)心建議廣大(dà)電(diàn)腦用戶:

    1、請将江民殺毒軟件升級至最新版本,并且進行全盤掃描。江民殺毒軟件KV2011的掃描加速技術令查殺更快捷。虛拟機脫殼以及動靜态啓發掃描更可強力狙擊各種已知(zhī)、未知(zhī)病毒。
    2、江民網絡版的用戶請及時升級控制中(zhōng)心和所有客戶端,并且進行全網病毒查殺。 
    3、開(kāi)啓江民殺毒軟件的主動防禦功能。江民殺毒軟件KV2011采用先進的“智能主動防禦2.0”系統,對病毒的攔截更精準,避免幹擾正常軟件的運行。
    4、開(kāi)啓江民殺毒軟件的網頁防馬牆功能。網頁木馬特征庫動态更新,最新網馬迅速攔截。同時結合惡意、釣魚網址庫,爲您的網上沖浪建立起雙重防護。 
    5、開(kāi)啓江民殺毒軟件的“移動存儲監視”功能(僅KV2011具備)。江民殺毒軟件KV2011可阻止病毒通過移動存儲設備進行傳播,讓數據存儲更安全。
    6、開(kāi)啓定時漏洞檢測功能,定期修複系統關鍵漏洞和常用第三方軟件漏洞,不給病毒以可乘之機。
    7、開(kāi)啓江民黑客防火(huǒ)牆。江民殺毒軟件KV2011内置全新的三層立體(tǐ)黑客防火(huǒ)牆,可對不同層面的網絡攻擊進行防禦,保衛系統安全更全面。 
    8、對于在Windows下(xià)無法清除的頑固文件,可使用BootScan功能在系統登陸前進行病毒查殺。
    9、江民殺毒軟件擁有強大(dà)的自我(wǒ)保護功能,能夠有效避免病毒的肆意破壞,全天候爲您的信息安全護航。
   10、江民殺毒軟件最新版下(xià)載地址http //filedown.jiangmin.com/KV2011/inst.exe(30天免費(fèi)試用,KV2010用戶無需卸載可直接覆蓋安裝)。或者可以使用江民免費(fèi)在線查毒系統進行病毒檢測:http //online.jiangmin.com/