近日,江民發布了《2006年上半年十大病毒排行榜》,現在,這十大病毒的防治辦法也出來了。
2006年上半年十大病毒防治辦法如下:
一、灰鴿子
Backdoor/Huigezi.**“灰鴿子”是一個未經授權遠程訪問用戶計算機的後門。以“灰鴿子”變種cm為例,該變種運行後,會自我復制到系統目錄下。修改注冊表,實現開機自啟。偵聽黑客指令,記錄鍵擊,盜取用戶機密信息,例如用戶撥號上網口令,URL密碼等。利用掛鉤API函數隱藏自我,防止被查殺。另外,“灰鴿子”變種cm可下載並執行特定文件,發送用戶機密信息給黑客等。
解決辦法:
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:運行REGEDIT命令打開注冊表編輯器,定位到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001Services\GrayPigeonServer ,將該鍵值刪除,然後進入 X:\windows(X:代表系統盤),設置顯示所有文件(或顯示隱藏文件),找到G_server.exe和G_server.dll以及G_server_hook.dll三個文件,正常模式下,無法刪除這三個文件,通過重啟電腦到安全模式下或使用第三方強力刪除工具將三個文件刪除。江民未知病毒檢測有效清除病毒文件。
二、傳奇竊賊
傳奇竊賊是專門竊取網絡游戲“傳奇2”登錄帳號密碼的木馬程序。該木馬運行後,主程序文件自己復制到系統目錄下。修改注冊表,實現開機自啟。終止某些防火牆、殺毒軟件進程。病毒進程被終止後,會自動重啟。竊取“傳奇2”帳號密碼,並將盜取的信息發送給黑客。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:
在系統文件夾裡面找到logo1_.exek文件並將其刪除。
三、高波和瑞波
高波: Backdoor/Agobot.** “高波”主要利用網絡弱密碼共享進行傳播的後門程序。該後門程序還可利用微軟DCOM RPC漏洞提升權限,允許黑客利用IRC通道遠程進入用戶計算機。該程序運行後,程序文件自我復制到系統目錄下,並修改注冊表,以實現程序的開機自啟。開啟黑客指定的TCP端口。連接黑客指定的IRC通道,偵聽黑客指令。
瑞波:該病毒經過多層壓縮加密殼處理,可以利用多種系統漏洞進行傳播,感染能力很強。中毒計算機將被黑客完全控制,成為"僵屍電腦"。由於此病毒會掃描感染目標,因此可以造成局域網擁堵。
高波:
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、高波手工清除:打好微軟MS03-007、MS03-026、MS04-011、MS04-031補丁,在系統目錄下找到病毒文件名為Medman.exe,並將其刪除。
瑞波手工清除:在系統目錄下找到病毒文件msxml32.exe,在注冊表中找到鍵值msxml32.exe,將其刪除。打上微軟MS03-007、MS03-026、MS04-011、MS04-031四個漏洞補丁。
四、CHM木馬:
CHM木馬利用IE浏覽器MHTML跨安全區腳本執行漏洞(MS03-014)的惡意網頁腳本,自從2003年以來,一直是國內最為流行的種植網頁木馬的惡意代碼類型,2005年下半年,泛濫趨勢稍有減弱,2006年上半年的感染數量仍然很大,沒有短期內消亡的跡象。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工防治:打上微軟MS03-014和MS04-023系統漏洞補丁,找到以下病毒和配置文件並將其刪除:
%SystemDir%\dllcache\pk.bin, 3680字節,病毒配置文件
%SystemDir%\dllcache\phantom.exe, 393216字節,病毒程序
%SystemDir%\dllcache\kw.dat, 803字節,病毒配置文件
%SystemDir%\dllcache\phantomhk.dll, 8704字節,病毒模塊
%SystemDir%\dllcache\phantomi.dll, 215040字節,病毒模塊
%SystemDir%\dllcache\phantomwb.dll, 40960字節,病毒模塊
在注冊表中定位到鍵值,並將該鍵值刪除。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom" = %SystemDir%\dllcache\phantom.exe
五、wmf惡意文件
Exploit.MsWMF.a“WMF漏洞利用者”變種a是一個利用微軟MS06-001漏洞進行傳播的木馬。如果用戶使用未打補丁的Windows系統,在上網浏覽、本地打開或預覽惡意WMF文件時,自動下載網絡上的其它病毒文件,偵聽黑客指令,對用戶計算機進行各種攻擊。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工防治:
下載安裝微軟ms06-001漏洞補丁,升級打開殺毒軟件實時監控。補丁下載。
六、QQ大盜:
Trojan/QQPass.ak (QQ大盜)是用Delphi編寫並經過壓縮的木馬,用來竊取游戲"傳奇"信息。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:在系統目錄找到病毒文件winsocks.dll和intren0t.exe,並將其刪除。打開注冊表並定位到以下鍵值,將鍵值刪除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intren0t" = %Windir%\intren0t.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Intren0t" = %Windir%\intren0t.exe
七、維京:
該病毒同時具有文件型病毒、蠕蟲病毒、病毒下載器等類病毒的特點,進入用戶的電腦之後,它會從網上瘋狂下載多個木馬、QQ尾巴等安裝在中毒電腦中,竊取用戶的網絡游戲密碼,嚴重時造成系統完全崩潰。該病毒同時具有文件型病毒、蠕蟲病毒、病毒下載器等類病毒的特點,進入用戶的電腦之後,它會從網上瘋狂下載多個木馬、QQ尾巴等安裝在中毒電腦中,竊取用戶的網絡游戲密碼,嚴重時造成系統完全崩潰。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:在下列系統目錄中找到相應病毒文件並刪除:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目錄\vdll.dll
定位到以下注冊表鍵值並將其刪除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\Windows\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\Windows\\rundl132.exe"
八、傳華木馬:
出自同一個木馬制作組織“傳華”的若干木馬變種。“傳華木馬”主要以盜取QQ或網絡游戲的帳號密碼為目的,變種極多,感染了大量用戶。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:使用江民殺毒軟件未知病毒檢測,定位可疑概率高的進程,根據文件信息判斷其是否病毒文件並將其刪除。
九、工行釣魚木馬:
這是一個十分狡猾的盜取網上銀行密碼的木馬病毒。病毒運行後,在系統目錄下生成svchost.exe文件,然後修改注冊表啟動項以使病毒文件隨操作系統同時運行。
病毒運行後,會監視微軟IE浏覽器正在訪問的網頁,如果發現用戶在工行網上銀行個人銀行登錄頁面上輸入了帳號、密碼,5自學網,並進行了提交,就會彈出偽造的IE窗,內容如下: “為了給您提供更加優良的電子銀行服務,6月25日我行對電子銀行系統進行了升級。請您務必修改以上信息!”
病毒以此誘騙用戶重新輸入密碼,並將竊取到的密碼通過郵件發送到一個指定的163信箱。該病毒同時還會下載灰鴿子後門病毒,感染灰鴿子的用戶系統將被黑客遠程完全控制。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:在系統目錄下找到svchost.exe病毒文件,並將其刪除,打開注冊表找到svchost.exe的關聯鍵值,並將其刪除。
十、敲詐者:
病毒在本地磁盤根目錄下建立一個屬性為系統、隱藏和只讀的備份文件夾,名為“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”,同時搜索本地磁盤上的用戶常用格式文檔(包括.xls、.doc、.mdb、.ppt、wps、.zip、.rar),把搜索到的文件移動到上述備份文件夾中,造成用戶常用文檔丟失的假象。
解決方法一:
1、打開工具選項—〉文件夾選項—〉選擇顯示所有文件和文件夾並且將隱藏受保護的操作系統把文件前的√去掉。
2、將根目錄下的名為“控制面板”隱藏文件夾用WinRAR壓縮,然後啟動WinRAR,切換到該文件夾的上級文件夾,右鍵單擊該文件夾,5自學網,在彈出菜單中選擇"重命名"。
3、去掉文件夾名“控制面板”後面的ID號{21EC2020-3AEA-1069-A2DD-08002B30309D},即可變為普通文件夾了;也可直接進入該文件夾找回丟失的文件。
解決方法二:
針對病毒修改注冊表鍵值隱藏用戶文件的做法,江民反病毒專家認為破解起來並不困難,稍有注冊表常識的用戶只需運行“regedit”,修改被病毒破壞的注冊表為以下各個鍵值,這樣就能顯示隱藏文件以及系統文件了……
解決方法三:
下載江民敲詐者專殺和修復工具。