在今天的病毒中TrojanDropper.Agent.ta“代理木马”变种ta和TrojanDropper.Psyme.gka“怕米”变种gka值得关注。
病毒名称:TrojanDropper.Agent.ta
中 文 名:“代理木马”变种ta
病毒长度:45312字节
病毒类型:木马释放器
危险级别:
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Agent.ta“代理木马”变种ta是“代理木马”木马释放器家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。
“代理木马”变种ta运行后,在被感染计算机系统的%SystemRoot%\system32\drivers目录下释放一个恶意驱动文件pcihdd2.sys并自动安装,利用该文件来实现穿透“系统还原保护程序”、覆盖系统正常文件“userinit.exe”或“explorer.exe”的目的。强行篡改注册表相关键值,实现进程映像劫持的功能,导致50种以上的安全软件在被感染计算机上无法启动运行,大大降低了被感染计算机上的安全性。在%SystemRoot%\system32目录下释放一个木马下载器程序lssass.exe。利用该木马下载器强行关闭指定安全软件的进程。在后台调用系统IE浏览器程序,连接骇客指定站点,获得其它恶意程序的下载地址列表,依次执行下载列表中的恶意程序并自动调用运行。另外,“代理木马”变种ta还具有躲避某些防火墙监控的功能。
病毒名称:TrojanDropper.Psyme.gka
中 文 名:“怕米”变种gka
病毒长度:5618字节
病毒类型:木马释放器
危害等级:
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Psyme.gka“怕米”变种gka是“怕米”木马释放器家族的最新成员之一,利用操作系统漏洞和软件漏洞传播其它恶意程序,采用t脚本语言编写,并且经过加密处理。“怕米”变种gka一般内嵌在正常网页中,如果用户计算机没有及时升级修补相应程序模块的漏洞补丁,那么当用户使用浏览器访问带有“怕米”变种gka的恶意网页时,就会在当前用户计算机的后台连接骇客指定站点,下载大量恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
针对以上病毒,江民反病毒中心建议广大电脑用户:
立即升级江民杀毒软件等防病毒程序并进行全面杀毒,开启各项监控,对于网上银行、支付平台、网上证券交易、网络游戏等账号密码等,要妥善保管,尽量不在有可能存在安全隐患的电脑上使用。
