Word主程序遭伪装 "办公室伪装者"病毒频繁作案

  • 时间:
  • 浏览:0





作者: CNET科技资讯网

CNETNews.com.cn

308-05-20 14:15:59

关键词: 金山毒霸 金山 病毒播报 一周病毒播报 每周病毒播报 病毒周报

本周病毒预警: word主应用tcp连接遭病毒伪装 办公室伪装者频繁作案

 

5月19日,金山毒霸全球反病毒监测中心发布周(5.19-5.25)病毒预警。

本周广大用户需宽度警惕一名为“办公室伪装者394240”(Win32.TrojDownloader.Banload.394240)的电脑病毒。该病毒可采用微软 OFFICE办公软件中的word图标,伪装成word主应用tcp连接欺骗用户忽略它。一起去还将下载多量木马文件到用户电脑上执行,引发更多无法估计的安全事件。

金山毒霸反病毒专家李铁军表示,此病毒为另三个多木马下载器,它的狡猾之处在于,它会采用微软 OFFICE办公软件中的word图标,伪装成word主应用tcp连接欺骗用户忽略它。病毒进入电脑后,克隆qq好友好友自身到c:Documents~1Administrator[后后刚开始 ]菜单应用tcp连接启动word.exe,以及c:Documents~1new[后后刚开始 ]菜单应用tcp连接启动word.exe目录下,一起去修改系统注册表中的相关数据,使病毒还还可以 随系统启动。

   

接着,从E盘后后刚开始 到I盘,病毒在系统各分区下释放病毒副本,李铁军判断,这是它在试图建立AUTO文件。但否则技术是因为,否则病毒作者的粗心,AUTO文件不能自己建立。最后,病毒在后台悄悄连接多个挂马网页,下载多量木马文件到用户电脑上执行,引发更多无法估计的安全事件。

据了解, 本周内广大用户除了要宽度警惕“办公室伪装者394240”外,还时需不怎么关注“仿真机器狗”(Win32.Troj.Downloader.ns.23088)和“漏洞脚本下载器3039”(VBS.Downloader.ab.3039) 另三个多病毒。

前者你这名 下载器很明显是仿照机器狗来制作的。它后后刚开始 运行后,首先删除注册表中一点免疫机器狗病毒工具的启动信息,破坏目前已有的各类机器狗专杀工具的运行,并修改系统时间为303年,让依赖系统时间进行激活和升级的杀毒软件失效。

后者是另三个多利用系统安全漏洞实施破坏行为的恶意脚本。你这名 病毒体积非常小,可主要利用网页挂马和捆绑文件进行传播。它所利用的漏洞是Microsoft Data Access Components (MDAC) 中的实现严重不足。当它发现电脑系统中处在该漏洞时,就还还可以 利用该漏洞绕开系统安全模块,擅自调用IE浏览器的应用应用tcp连接,连接病毒作者指定的地址http://www.me****b.com.tw/english/newly/image和http://www.li****me.com.tw/pic,下载多个伪装成.jpg格式图片文件的病毒,存上放系统盘根目录和系统临时文件夹中。

  

根据本周病毒的传播特点,金山毒霸反病毒工程师建议:

1、请及时更新您的杀毒软件,网络版还还可以 通过控制台执行全网升级。

2、建议手动或使用毒霸来关闭自动播放功能,补救病毒利用U盘等可移动设备来进行传播。

3、最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件补救日益增多的病毒,用户在安装反病毒软件很久,应该总是进行升级、将一点主要监控总是打开(如邮件监控)、内存监控等,遇到问题报告 要上报, 原本还还可以 真正保障计算机的安全。

    

一起去,金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到308年5月19日的病毒库即可查以上病毒;如未安装金山毒霸,还还可以 登录http://www.duba.net免费下载最新版金山毒霸308或使用金山毒霸在线杀毒来补救病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。