江民今日提醒您注意:在今天的病毒中Backdoor/Heidong.2005.b“黑洞2005”变种b和Backdoor/Agobot.aol“罗伯特”变种aca值得关注。
病毒名称:Backdoor/Heidong.2005.b
中 文 名:“黑洞2005”变种b
病毒长度:182144 字节
病毒类型:后门
危害等级:★★
影响平台:Win 9x/2000/XP/NT/Me/2003
Backdoor/Heidong.2005.b“黑洞2005”变种b。该后门除可自动开启被感染用户的摄像头;远程摄像,进行远程监控;试图终止防火墙等安全防护软件。该后门运行后,在Windows目录下释放wind1132.exe(病毒主程序)、wind1132.cfg (配置文件),并在系统目录下释放KeySpy.dll(病毒钩子模块)、及Keylog.txt(键击记录文件)。修改注册表项,将病毒自身添加为服务,通过此方法实现开机自启。利用此后门,黑客可获取用户BIOS密码、屏幕保护密码、基于NT核心的登陆密码、FOXMAIL密码、OUTLOOK密码等。记录所有中英文输入的键击,盗取用户机密信息。视频监控,远程开启用户USB摄像头,并将其偷拍数据转换为Mpeg文件传给黑客。远程监控被感染计算机,非授权观看远程桌面。远程查看用户所有进程和窗体,关闭黑客指定进程,并可以结束用户开启的任意程序。重启或关闭用户计算机,并可以上传黑客指定程序或下载用户原有资源。按反弹端口方式进行反向连接,通过此法穿透一般防火墙,渗透到内部网络,给公司的内部信息带来安全隐患。
病毒名称:Backdoor/RBot.aca
中 文 名:“罗伯特”变种aca
病毒长度:203,776 字节
病毒类型:后门
危害等级:★
影响平台:Win 9x/2000/XP/NT/Me/2003
Backdoor/Agobot.aol“罗伯特”变种aca是经Aspack压缩,通过网络共享、DCOM RPC漏洞、RPC漏洞、WebDav漏洞传播,允许黑客利用特定IRC通道访问感染的机器。该后门程序运行后,程序文件Winupdgm.exe自我复制到系统目录下。修改注册表,实现开机自启。连接特定的IRC通道,侦听黑客指令:下载并运行其它病毒程序;进行自身程序的更新升级;终止反病毒软件及防火墙相关进程盗取计算机用户机密信息;执行DoS攻击等指令。并可将用户计算机作为代理服务器,执行其它操作。利用密码字典破解其它计算机的网络共享,成功后在其它计算机中进行自我复制并运行。盗取游戏CD Key,监听任意端口。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请及时升级江民KV2005杀毒软件,并开启各项监视程序,防止病毒及木马程序进入系统。江民KV2005杀毒软件可以直接在Windows系统下彻底清除以上病毒。
2、及时更新Windows操作系统,安装补丁程序。以避免病毒利用微软漏洞攻击计算机,造成损失。
3、设置网络共享帐号及密码时,尽量不要使用常见字符串,如guest、administrator等,密码最好超过八位。
4、在打开通过网络共享下载的文件之前,建议先进行病毒查杀,以免导致中毒。
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站http://www.jiangmin.com进行在线查阅。
