电脑也含“三聚氰胺”

mimisky

资讯提醒您：最近出现几种新的电脑病毒，危害网民，值得大家高度重视，总结了几家病毒软件发布的最新病毒播报，希望大家加强防范，注意安全：

　　金山：

　　一、“魔域盗号木马65536”(Win32.Troj.OnlineGames.ak.65536)威胁级别：★

　　该毒行为简单。它进入用户电脑系统，在%WINDOWS%\system32\目录中释放出子文件biroask.exe和biroas.dll。其中biroas.dll会被写入注册表，使病毒实现开机自启动。

　　运行起来后，biroas.dll会被注入到游戏进程中，建立消息钩子，监视游戏客户端与服务器端的通讯信息，从中截取用户输入的帐号和密码。

　　盗窃成功后，该毒通过网页提交的方式发送到病毒作者指定的地址，并删除自己的原始文件，避免被用户发现。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-t ... ak-65536-51780.html

　　二、“木马钥匙159744”(Win32.Troj.AutoRunT.yj.159744)威胁级别：★

　　就像很多正常软件由不同模块组成一样，很多病毒也是由多个不同功能的模块组成，这种方法可以减小病毒的开发难度，提高开发效率，同时，也能降低被杀毒软件发现的风险。此篇播报中的病毒，就是这样的模块文件。

　　该毒由AUTO文件Autorun.inf运行。病毒取当前目录的路径，调用系统命令，模拟鼠标左键双击，让木马母体运行起来，并将自己和Autorun.inf复制到当前目录中。

　　接着，该毒将木马主文件添加启动项，让整个木马实现开机自启动。根据毒霸反病毒工程师的检查，这个模块可以用于很多木马的运行，但如果加以改造，也可以用于支持普通文件的自动安装。其实，很多类似该模块功能的技术，其本身无所谓好坏，全看使用者将它们用在怎样的用途上。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-autorunt-yj-159744-51781.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年9月19的病毒库即可查杀以上病毒;如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。



　　瑞星：

　　“梅勒斯木马下载器变种BCI(Trojan.DL.Win32.Mnless. bci)”病毒：警惕程度★★★，木马病毒，通过与其它木马结合的方式传播，依赖系统：Windows NT/2000/XP/2003。

　　这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下，加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序，在系统目录下保存病毒文件名为6位或8位的EXE文件，并在用户计算机上运行。同时，这些病毒都会修改注册表启动项，实现随系统自启动，给用户的查杀和正常使用计算机带来极大的不便。

　　反病毒专家建议电脑用户采取以下措施预防该病毒：1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手，并及时升级，瑞星杀毒软件每天至少升级三次;2、使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞;3、不浏览不良网站，不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全;7、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡6.0，打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

　　如遇病毒，请拨打反病毒急救电话：010-82678800。能够上网的用户可以访问瑞星反病毒资讯网：http://www.rising.com.cn或登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。



　　江民：

　　英文名称：TrojanSpy.Magania.ask

　　中文名称：“玛格尼亚”变种ask

　　病毒长度：84992字节

　　病毒类型：木马

　　危害等级：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanSpy.Magania.ask“玛格尼亚”变种ask是“玛格尼亚”木马家族中的最新成员之一，采用VC++编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的组件，一般被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被查杀。“玛格尼亚”变种ask是一个专门盗取《冒险岛Online》、《惊天动地Online》、《科南时代Online》、《丝路传说Online》网络游戏玩家会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将盗取的玩家信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品和金钱等丢失，给游戏玩家带去不同程度的损失。“玛格尼亚”变种ask运行时，会在被感染计算机系统的后台连接骇客指定远程服务器站点“http://www.a*b*1*2.com/f*4/”，获取“配置信息列表”文件(该文件以加密的方式保存，包括病毒版本号、更新日期、恶意网站地址等)，然后根据所获取的“配置信息列表”文件中的设置来执行相应的恶意操作。另外，“玛格尼亚”变种ask会通过在注册表启动项中添加键值的方式来实现木马开机自启动。

　　病毒名称：TrojanDownloader.Losabel.el

　　中 文 名：“露萨”变种el

　　病毒长度：36757字节

　　病毒类型：木马下载器

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanDownloader.Losabel.el“露萨”变种el是“露萨”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳处理。“露萨”变种el运行后，自我复制到被感染计算机系统的“%SystemRoot%\”目录下，重命名为“system32StopAor.exe”。修改注册表，实现木马开机自动运行。启动“iexplore.exe”进程并将恶意代码注入其中运行，隐藏自身，躲避安全软件的查杀。在被感染计算机系统的后台连接骇客指定站点，获取恶意程序的下载地址列表，下载多个恶意程序。其中，所下载的恶意程序可能是窃取网络游戏账号的木马、广告程序、后门等，给被感染计算机用户带来不同程度的损失。强行篡改注册表相关键值，实现进程映像劫持的功能，导致用户运行某些安全程序时实际上运行的是“露萨”变种el病毒程序，甚至导致系统自带的任务管理器也无法正常运行。在被感染计算机系统的后台秘密监视进程名和已打开的窗口标题，一旦发现某些安全软件程序正在运行，马上将其强行关闭。破坏注册表项，致使被感染计算机系统无法显示隐藏文件。“露萨”变种el执行安装程序完毕后会自我删除。另外，“露萨”变种el还可以进行自升级。

　　针对以上病毒，江民反病毒中心建议广大电脑用户：

1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

　　3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

　　4、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。

　　5、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。

　　6、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。

　　7、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。

　　8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

　　有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

　　点击下载江民软件

　　卡巴斯基：　　


　　病毒名称：Backdoor.Win32.Popwin.byw (伪装杀手) 　

　　文件大小：24452字节 　
　　病毒类型：后门


　　危害等级：★★★★ 　　

　　影响的平台：WIN9X/ME/NT/2000/XP/2003


　　病毒表现(X代表任意数字与字母的组合)：　　

　　计算机被伪装杀手病毒感染后会把系统中的输入法文件复制到C盘中名为COM的文件夹中，并将输入法文件名更换为IE。它还会在system32文件夹下创建一个名为copy1940000.bat的文件，将伪装杀手的主文件复制到系统目录下并更名为ctfmon.exe，以便自动下载大量木马程序，用以盗取被该病毒感染的计算机中的个人信息，同时它还会在计算机中开启后门接收黑客指令。目前，卡巴斯基已可以成功查杀该病毒，我们建议您尽快更新病毒库进行查杀以避免不必要的损失。


　　手动查杀方法:　　

　　首先在任务管理器中结束ctfmon.exe进程，删除c:\windows\system32\ctfmon.exe文件(大小为24452字节)，以及copy1940000.bat文件，将c:\windows\system32\com下的ie.exe文件拷贝到system32目录下，并重命名为ctfmon.exe。


　　专家预防建议:　　


　　1.建立良好的安全习惯，不打开可疑邮件和可疑网站。 　　

　　2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 　　

　　3.使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 　　

　　4.现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 　　

　　5.安装专业的防毒软件升级到最新版本，并开启实时监控功能。 　　

　　6.为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 　　

　　7.不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。  
　　点击下载卡巴斯基
　　
　　
　　超级巡警：　　
　　GDI+漏洞曝光!电脑也含“三聚氰胺”

　　9月10日, 微软发布了9月份的安全公告，向公众公开了自己一个最高级别的危险漏洞：“GDI图形界面漏洞”。受其影响的软件包括微软的：IE、Office、Windows Media Player;此外，多数具有图形处理功能的软件也受该漏洞影响，造成了规模空前的安全隐患。仅过一日，中国食品行业也遭遇“911恐怖”侵袭，“三聚氰胺”投毒事件震惊了整个奶制品行业。对比“三聚氰胺”微软的GDI漏洞对于电脑安全的影响到底有多大呢?　　





　　1、毒性对比：

　　三聚氰胺过量可致命，造成了一部分人的恐慌。那么GDI漏洞的“毒性”到底有多大?黑客可以利用GDI漏洞制作木马、病毒，可以潜伏在图片中。如果你的系统中含有GDI漏洞，那么你浏览这类图片的时候，注意是当你“浏览”的时候，无需点击即会中毒。

　　举个简单例子：“当黑客把含有病毒的QQ表情图片发到QQ群里面，那么群里面所有用户，只要机器内含有GDI漏洞，就有可能中毒。中毒后的电脑，可能会被黑客完全控制，通过下载海量的木马、病毒的最新变种，让杀毒软件彻底瘫痪。”

　　2、影响范围：

　　“三聚氰胺”被央视曝光含在22个品牌的婴幼儿奶粉中，也含在国内多个知名品牌的液态奶中，影响范围几乎涉及到了每个人。GDI+漏洞在所有windows系统中，涉及每个windows用户。不仅微软的软件存在漏洞，涉及到windows图形组件的第3方应用软件也受牵连：

　





　　笔者机器上的photoshop类图形软件全部含有漏洞，QQ、暴风影音等涉及图形界面的软件也未能幸免!

　　3、补救措施：

　　微软在第一时间公布了漏洞及解决方案，而没有推卸责任给他人。相对微软，奶粉厂商们表现则显得差强人意。但微软的补丁却只能修补自己的程序的GDI+漏洞。而GDI+漏洞还潜伏在各种浏览器、看图工具、QQ等聊天工具、影音播放工具，如果你的机器内包含这些应用软件，而这些软件厂商没有更新自己的GDI相关组件，那么同样会造成安全隐患!所以仅安装微软的补丁是远远不够的，

　　这里推荐数据安全试验室(sucop.com)提供的一种简单有效的解决方案：

　　1、使用超级巡警GDI+漏洞专用修复工具统一修复所有漏洞。

178311022

三聚氰胺这个词目前很火啊