扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2008年3月3日,江民反病毒中心发布病毒警报,一种伪装成百度即时通讯工具“百度HI”的病毒正在通过网络加速传播,该病毒最早在上周五(2月29日)被首次截获。
病毒传播者利用近期倍受关注的百度即将推出即时通讯工具“百度HI”的热点新闻,在各大论坛以及贴吧里发布下载链接,假冒“百度HI”即时通讯软件诱使用户下载。
江民反病毒专家介绍,该病毒是一个远程控制后门程序,和“灰鸽子”的功能十分相似。中毒后电脑会变成网络僵尸,骇客可以远程任意控制被感染的计算机,还可以窃取用户计算机里所有的机密信息资料。
病毒运行后,在“C:WINDOWS”目录下生成病毒文件nod32.exe,文件属性设置为:只读、系统隐藏、存档。病毒在后台调用系统“C:windowssystem32svchost.exe”进程,把恶意可执行代码都注入到该进程中,然后调用执行。病毒通过此举隐藏自身,使普通用户很难发觉。病毒还会使用刚刚调用起来的系统“svchost.exe”进程把病毒程序“C:WINDOWS od32.exe”文件以独占的方式打开,在不关闭“svchost.exe”进程的情况下,用户根本无法手工删除病毒主程序。
让江民反病毒专家疑惑的是,假“百度HI”病毒在内存放一些IP地址数据,分析显示该IP地址来自美国,但无从知晓该IP地址的具体用途。
分析还显示,病毒运行后通过一个位于广东省东莞市的IP地址实现通讯,通讯端口为OICQ Server[8000],病毒运行后,会将自身安装程序删除,这样除了注入到svchost.exe内的可执行代码之外,系统内没有任何该病毒的文件。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。