为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

“后门小广告”病毒伪装Flash图标创建后门

2008-5-7 11:00| 投稿: blue

摘要: “病毒组合模块8192”(Win32.Patched.j.8192),这是某感染型病毒的一个组成部分。它会感染系统的DLL格式文件,当用户运行需要调用该DLL文件的程序时,病毒就会被激活,配合完整的病...
“病毒组合模块8192”(Win32.Patched.j.8192),这是某感染型病毒的一个组成部分。它会感染系统的DLL格式文件,当用户运行需要调用该DLL文件的程序时,病毒就会被激活,配合完整的病毒文件执行破坏行为。 “后门小广告327680”(Win32.Troj.Agent.re.327680),这是一个黑客远程木马。它会伪装成Flash播放器的图标,如果运行起来,就会弹出广告窗口,并创建后门,给黑客入用户电脑侵提供机会。 一、“病毒组合模块8192”(Win32.Patched.j.8192) 威胁级别:★ 很多病毒都包含有不止一个的病毒文件,当所有文件都凑齐的时候,病毒的破坏能力就会达到最大。此篇预警播报中介绍就是某病毒的一个模块。 这个模块随着完整的病毒文件进入系统后,会搜索并感染系统中的DLL格式文件,只要用户运行了需要调用该DLL文件的程序时,该模块便会被激活,在%WINDOWS%\目录下搜索一个名为ObjHelpr32.txt的文本文件。 经毒霸反病毒工程师分析,这个ObjHelpr32.txt文件是一份病毒下载列表。如果这个模块顺利找到该文件,它就会启动病毒的另一个模块,根据列表中的地址执行下载任务,将更多其它病毒引到用户电脑中运行,引发更多的麻烦。 二、“后门小广告327680”(Win32.Troj.Agent.re.327680) 威胁级别:★ 病毒进入电脑后,将自身文件Boercservice.exe和Boercservice.dll拷贝到%WINDOWS%下,同时,释放多个文件到系统的临时目录,也就是%Temp%目录下,如krnln.fne、krnln.fnr等等。值得注意的是,Boercservice.exe这个文件会伪装成Flash播放器的图标,迷惑用户。 病毒的作案过程与其它大部分的黑客程序相近,它会将主文件Boercservice.exe写入启动项,实现开机自启动,然后把DLL文件注入系统桌面进程IEXPLORE.exe中,搜索IE浏览器的窗口,控制它弹出病毒作者指定的广告网页,给广告网页“贡献”出流量。 但仅仅是弹射广告的话,还不足以威胁用户的系统安全。该病毒真正可恶之处是它会悄悄建立后门,等待病毒作者(黑客)的连接。如果黑客进入用户系统,就可以进行任何他想要的操作。 金山反病毒工程师建议 1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。 2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。  

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部