科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道电脑遭黑客遥控"牧民"成罪魁祸首

电脑遭黑客遥控"牧民"成罪魁祸首

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本周一种黑客病毒“牧民远程控制361984”(Win32.Hack.Delf.388261)正在疯狂作案。黑客可利用该病毒控制用户电脑,使之沦为“肉鸡”,进而给用户带来无法估计的损失和麻烦。

作者:ZDNet网络安全 来源:ZDNet网络安全 2008年2月28日

关键字: svchost.exe 牧民 牧民远程控制 Explorer.exe 金山

  • 评论
  • 分享微博
  • 分享邮件

金山毒霸全球反病毒监测中心发布周(2.25-3.2)病毒预警,本周一种黑客病毒“牧民远程控制361984”(Win32.Hack.Delf.388261)正在疯狂作案。黑客可利用该病毒控制用户电脑,使之沦为“肉鸡”,进而给用户带来无法估计的损失和麻烦。

金山毒霸反病毒专家李铁军表示,该病毒进入系统后即刻创建后门,并将自己设置为开机自启动。然后在用户无法察觉的情况下开启远程线程,连接http://yk2812017.3322.org:8000这个由黑客(木马种植者)指定的地址,使黑客可以控制被感染机器。

李铁军分析指出,病毒顺利潜入用户系统后,将病毒文件sysi.dll释放到系统盘的%WINDOWS%%system32目录下,然后修改系统注册表,创建系统服务,添加了可令电脑自动上线的数据。当病毒开始运行,它会创建单独的svchost.exe进程,但由于svchost.exe在正常的电脑中也可能同时出现多个,这就造成一些初级用户感到迷惑,难以识别哪个是病毒进程。而当黑客控制中毒电脑后,他就能进行几乎任何想要的操作,甚至利用中毒电脑去攻击其它电脑,给用户带来极大的威胁。

据了解,本周内广大电脑用户除了需要警惕“牧民远程控制 ”之外,还需要特别警惕“覆盖式下载器 ”(Win32.Troj.Agent.tr )与“AUTO下载者135168 ”(Worm.AutoRun.125893)两大病毒。前者病毒进入系统后,覆盖感染系统桌面进程的文件explorer.exe,只要用户启动电脑,病毒就能够随着explorer.exe的运行而跟着跑起来。然后修改系统时间为2001年使用户可能装有的“卡巴斯基”失效并强行中止安全辅助软件“360安全卫士”的进程,接着建立远程连接,从木马种植者制定的网址http://www.33**92.com/下载更多的其它恶意程序,给用户系统造成各种可能的破坏。

后者运行后,在用户无法察觉的情况下启动IE浏览器的进程,创建远线程,从木马种植者指定的地址http://ee.*v**av.com下载完整的自身程序到本地运行。并感染本机和局域网内其它电脑中的exe和scr格式的文件。另外木马程序还会查找已连接到中毒电脑上的U盘等移动存储设备,利用移动存储器来扩大自己的传播范围。

根据本周病毒传播特点,金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年2月25日的病毒库即可查以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章