死循环恶作剧使电脑不断重启

mimisky

华军资讯提醒您：最近出现几种新的电脑病毒，危害网民，值得大家高度重视，华军总结了几家病毒软件发布的最新病毒播报，希望大家加强防范，注意安全：

　　金山：

　　一、“木马下载器184320”(Win32.Troj.Agent.pv.184320) 威胁级别：★

　　病毒获取磁盘信息，调用系统函数，得到一个随机生成的目录，在里面释放出自己的配置文件，然后，解密并拼合其中的远程地址数据，悄悄进行下载。

　　该毒每隔4毫秒就连接一次远程地址，下载病毒作者安排好的其它病毒到电脑中，并立即运行它们。当完成所有被下载的病毒都运行起来，它就删除它们的原始文件，让用户无法向杀毒软件厂商举报它们的样本。

　　除进行下载外，毒霸反病毒工程师没有发现该毒具有其它破坏行为。运行完成后，该毒就会删除自己的母体文件。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-pv-184320-50919.html

　　二、“暴力清洗下载器32768”(Win32.TrojDownloader.VB.32768) 威胁级别：★★

　　此下载器对系统的破坏性较高，因为它除了执行下载外，还会删除所处目录下所有的exe格式文件。

　　如果该毒进入C盘或D盘并运行起来，就会搜索并删除当前目录下的所有exe文件，同时遍历当前进程，关闭p2pnetworking.exe、p2pnetwork.exe、winlog.exe、csrrs.exe等进程。

　　随后，它从http://homepage.nt****ld.com/nrclarky这个由病毒作者指定的地址下载两个文件dr.exe和install.exe，将它们存放到到当前目录并运行。这两个文件是同个病毒文件的不同副本，如果一个下载失败，就下载另外一个。经毒霸反病毒工程师检查，这是一个流氓软件。

　　当下载完成，该毒便创建脚本，删除自己的原始文件。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-vb-32768-50938.html

　　三、“死循环恶作剧16384”(Win32.RiskWare.Shutdown.c.16384) 威胁级别：★★

　　该病毒对系统没有直接的破坏行为，但是它会造成用户的电脑不断的自动重启，让用户无法正常工作。该毒近来感染量有所上升，毒霸反病毒工程师猜测是有人在故意散播。

　　它进入用户系统后，就立即在当前目录下运行起来。它行为很简单，在获取两个未公开的函数、篡夺系统的操作权限后，就发出ShutdownReboot指令，让系统瞬间重启。在此过程中，用户完全来不及保存正在进行的任务。

　　而之后，它会不断的重启系统，让用户不能正常开展工作，由于频繁重启，甚至有可能引起电脑的硬件故障。综合它的行为来看，可以判定其为恶作剧程序，但很明显，病毒作者的这个玩笑开得有些过头。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-r ... -c-16384-50939.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年9月8的病毒库即可查杀以上病毒;如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

　　点击下载金山软件

　　瑞星：

　　“安德夫木马变种PTT(Trojan.Win32.Undef. ptt)”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

　　这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

　　“AcKiller蠕虫变种BPY(Worm.Win32.Ackiller.bpy)”病毒：警惕程度★★★★，蠕虫病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

　　这是一个蠕虫病毒。病毒通过FSG加壳，Delphi语言编写。该病毒运行后会在%systemroot%\system32\下释放多个病毒文件，病毒会通过发送消息、添加映像劫持、删除文件等方式关闭和破坏安全类软件以逃避杀毒软件的查杀，并且会禁止系统显示隐藏文件、破坏安全模式使系统异常，添加注册表启动项和autorun.inf文件以实现自动运行，最终病毒会下载大量的木马病毒，给用户的系统安全和个人隐私带来极大威胁。

　　反病毒专家建议电脑用户采取以下措施预防该病毒：1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手，并及时升级，瑞星杀毒软件每天至少升级三次;2、使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞;3、不浏览不良网站，不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全;7、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡6.0，打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

　　点击下载瑞星软件

　　江民：

　　病毒名称：Trojan/PSW.LMir.gwr

　　中 文 名：“传奇窃贼”变种gwr

　　病毒长度：22009字节

　　病毒类型：木马

　　危害等级：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.LMir.gwr“传奇窃贼”变种gwr是“传奇窃贼”木马家族的最新成员之一，采用Delphi编写，并经过添加保护壳处理。“传奇窃贼”变种gwr运行后，自我复制到被感染计算机系统的“C:\WinEye\”目录下，重命名为“WinEye.com”，并在同一目录下释放木马组件“WinEye.dll”。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台秘密监视用户打开的程序，一旦发现网络游戏《破天一剑》的登陆窗口，便通过HOOK技术和内存截取技术监视用户的键盘和鼠标操作，窃取用户输入的账号及密码等信息。“传奇窃贼”变种gwr还能自动获取玩家角色的身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上，造成玩家的游戏帐号、装备物品、金钱等丢失，给玩家带来不同程度的损失。另外，“传奇窃贼”变种gwr还可能会下载更多的恶意软件、网游木马等，给网络游戏玩家带来非常大的损失。

　　病毒名称：Trojan/Monder.ca

　　中 文 名：“摩登王”变种ca

　　病毒长度：45312字节

　　病毒类型：木马

　　危害等级：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/Monder.ca“摩登王”变种ca是“摩登王”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“摩登王”变种ca运行后，在被感染计算机系统“%SystemRoot%\system32\”目录下释放木马组件，文件名由8位随机字母组成。将其注册为浏览器辅助插件(BHO)，实现木马开机自动运行。将恶意代码注入到“winlogon.exe”和“explorer.exe”进程中运行，隐藏自我，防止被查杀。通过提升自身权限、强行篡改注册表键值等方法查找并强行关闭大量流行的安全软件、浏览器辅助安全插件等，并且可能会卸载某些安全软件，极大地降低了被感染计算机系统的安全性。不定时弹出广告窗口，影响用户正常使用计算机。在后台秘密收集被感染计算机的系统信息，发送到骇客指定的服务器上。下载恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等，给被感染计算机用户带来不同程度的损失。另外，“摩登王”变种ca最后会自我删除，消除痕迹。

　　针对以上病毒，江民反病毒中心建议广大电脑用户：

　　1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

　　3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。

　　4、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

　　5、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。

　　6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。

　　7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

　　有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

　　点击下载江民软件

　　卡巴斯基：

　　病毒名称：Worm.Win32.AutoRun.lya (多面手)

　　文件大小：74752字节

　　病毒类型：蠕虫

　　危害等级：★★★★★

　　影响的平台：WIN9X/ME/NT/2000/XP/2003

　　病毒表现(X代表任意数字与字母的组合)：

　　此病毒使用Delphi语言编写，它将自己伪装成图片的图标，诱使用户去点击，一旦用户被此病毒感染，系统任务管理器以及注册表、系统还原等功能将不能被运行，以及不能通过开始菜单关闭或重启系统，并且修改host文件，使计算机不能访问与反病毒有关的任何网页，同时还在系统启动项中添加相应的键值，以达到开机启动的目的，同时此病毒还会破坏安全模式，使我们想进入安全模式杀毒成为泡影。

　　手动查杀方法:

　　由于此病毒修改系统地方较多，建议使用卡巴斯基杀毒软件升级到最新的病毒库进行查杀，以免手动删除给系统带来其它问题。其主文件生成位置：c:\windows\system32\symcomdb.exe .注册表启动项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec Communication Database .

　　专家预防建议:

　　1.建立良好的安全习惯，不打开可疑邮件和可疑网站。

　　2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

　　3.使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。

　　4.现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。

　　5.安装专业的防毒软件升级到最新版本，并开启实时监控功能。

　　6.为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

7.不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。