Word主程序遭伪装 "办公室伪装者"病毒频繁作案

  • 时间:
  • 浏览:0





作者: CNET科技资讯网

CNETNews.com.cn

60 8-05-20 14:15:59

关键词: 金山毒霸 金山 病毒播报 一周病毒播报 每周病毒播报 病毒周报

本周病毒预警: word主守护线程池池遭病毒伪装 办公室伪装者频繁作案

 

5月19日,金山毒霸全球反病毒监测中心发布周(5.19-5.25)病毒预警。

本周广大用户需深度1警惕一名为“办公室伪装者394240”(Win32.TrojDownloader.Banload.394240)的电脑病毒。该病毒可采用微软 OFFICE办公软件中的word图标,伪装成word主守护线程池池欺骗用户忽略它。一并还将下载絮状木马文件到用户电脑上执行,引发更多无法估计的安全事件。

金山毒霸反病毒专家李铁军表示,此病毒为另一一有一个木马下载器,它的狡猾之占据 于,它会采用微软 OFFICE办公软件中的word图标,伪装成word主守护线程池池欺骗用户忽略它。病毒进入电脑后,克隆自身到c:Documents~1Administrator[现在开始]菜单守护线程池池启动word.exe,以及c:Documents~1new[现在开始]菜单守护线程池池启动word.exe目录下,一并修改系统注册表中的相关数据,使病毒要能随系统启动。

   

接着,从E盘现在开始到I盘,病毒在系统各分区下释放病毒副本,李铁军判断,这是它在试图建立AUTO文件。但肯能技术是因为,肯能病毒作者的粗心,AUTO文件很难建立。最后,病毒在后台悄悄连接多个挂马网页,下载絮状木马文件到用户电脑上执行,引发更多无法估计的安全事件。

据了解, 本周内广大用户除了要深度1警惕“办公室伪装者394240”外,还需用不得劲关注“仿真机器狗”(Win32.Troj.Downloader.ns.260 88)和“漏洞脚本下载器60 39”(VBS.Downloader.ab.60 39) 另一一有一个病毒。

前者你这名 下载器很明显是仿照机器狗来制作的。它现在开始运行后,首先删除注册表中有些免疫机器狗病毒工具的启动信息,破坏目前已有的各类机器狗专杀工具的运行,并修改系统时间为60 3年,让依赖系统时间进行激活和升级的杀毒软件失效。

后者是另一一有一个利用系统安全漏洞实施破坏行为的恶意脚本。你这名 病毒体积非常小,可主要利用网页挂马和捆绑文件进行传播。它所利用的漏洞是Microsoft Data Access Components (MDAC) 中的实现过低。当它发现电脑系统中占据 该漏洞时,就要能利用该漏洞绕开系统安全模块,擅自调用IE浏览器的守护线程池池,连接病毒作者指定的地址http://www.me****b.com.tw/english/newly/image和http://www.li****me.com.tw/pic,下载多个伪装成.jpg格式图片文件的病毒,存放在系统盘根目录和系统临时文件夹中。

  

根据本周病毒的传播特点,金山毒霸反病毒工程师建议:

1、请及时更新您的杀毒软件,网络版要能通过控制台执行全网升级。

2、建议手动或使用毒霸来关闭自动播放功能,解决病毒利用U盘等可移动设备来进行传播。

3、最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件解决日益增多的病毒,用户在安装反病毒软件前一天,应该老会 进行升级、将有些主要监控老会 打开(如邮件监控)、内存监控等,遇到问题要上报, 那我要能真正保障计算机的安全。

    

一并,金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到60 8年5月19日的病毒库即可查以上病毒;如未安装金山毒霸,要能登录http://www.duba.net免费下载最新版金山毒霸60 8或使用金山毒霸在线杀毒来解决病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。