6月23日,金山毒霸全球反病毒監測中心發布周(6.23-6.29)病毒預警,由於最近Flash漏洞問題對電腦安全影響較大,電腦用戶們紛紛尋找升級補丁,病毒制造者趁機混入其中,偽裝成Flash安全升級補丁,欺騙用戶下載和復制。本周需警惕“FTP資源吸血鬼135168”,它會偽裝成Adobe Flash Player、Sun Java以及Windows操作系統的安全升級補丁,從用戶系統中的FTP相關軟件中盜取用戶保存的FTP連接地址、帳號信息等敏感數據,然後發送到病毒作者指定的地址,給用戶虛擬財產帶來極大的安全隱患。
金山毒霸反病毒專家李鐵軍表示,病毒經過了復雜的加密,試圖阻止反病毒軟件廠商的查殺,它進入電腦系統後,就會釋放出病毒文件、設置自己為開機自啟動。然後彈出相應的提示,欺騙用戶說安全補丁已經安裝,而實際上,病毒這時候已經運行起來。
李鐵軍分析指出,病毒運行後,在系統盤中讀取%Document and Settings%當前用戶Application Data 和 %Document and Settings%All UsersApplication Data 兩個路徑,並進一步從它們的下層路徑裡讀取一些關鍵文件,從中獲知用戶系統中安裝的FTP軟件及其版本號(比如CuteFTP這樣的工具)。接著,讀取 %WINDOWS%目錄下的win.ini文件,從中獲取另一個FTP相關文件的路徑,然後讀取該文件中所記錄的FTP連接地址、用戶名和密碼信息。同時,它還會記錄用戶系統中與FTP有關的網頁記錄,將這些信息同之前偷到的信息一起,寫入%WINDOWS%目錄下一個名為db32.txt的文檔中,發送到病毒作者指定的地址。
據了解,本周內廣大電腦用戶除了需要警惕“FTP資源吸血鬼135168”(Win32.Hack.Agent.135168)之外,還需要特別警惕“密碼綁匪118784”(Win32.Encode.de.118784)與“憤怒肉雞19825”(PE.Trafaret.a.19825) 兩大病毒。前者繼上周的“惡毒戰士”之後,又一活動頻率較高的詐騙型木馬。它會遍歷磁盤文件,找到多種格式的文件做高強度的加密,並在加密後的文件夾中留下口信,要挾用戶付款解密;後者是一個黑客遠程工具。它利用感染正常的exe格式文件來進行傳播。它會利用中毒計算機來執行黑客指定的行為,攻擊其它電腦,影響網絡的正常運行。
根據本周病毒傳播特點,金山毒霸反病毒應急中心及時進行了病毒庫更新,升級毒霸到2008年6月23日的病毒庫即可查以上病毒;如未安裝金山毒霸,可以登錄http://www.duba.net免費下載最新版金山毒霸2008或使用金山毒霸在線殺毒來防止病毒入侵,撥打金山毒霸反病毒急救電話010—82331816反病毒專家將為您提供幫助。