金山反病毒气象(2004年06月14日至06月20日)

告诉您的位置：首页 > 病毒专栏 > 病毒气象 > 正文

金山反病毒气象(2004年06月14日至06月20日)

2004年06月10日16:06:08　金山毒霸安全资讯网　

金山反病毒气象(2004年06月14日至2004年06月20日)

　　金山反病毒应急中心本周进行升级包的更新，请用户尽快到金山毒霸站duba.net下载升级包，以下是几个重要病毒的简介：

本周重点关注病毒：

　　一、木马病毒：网银大盗变种B（Win32.Troj.KeyLog.b）★★★

　　金山毒霸报道：6月3日，金山毒霸成功截获网银大盗最新变种B，该变种会盗取更多银行的网上帐号和密码，可能会造成巨大的经济损失。请网络用户在升级毒霸到6月4日的病毒库，以避免使用网银进行交易。以下是该病毒的详情：

病毒名称： Win32.Troj.KeyLog.b　中文名称：网银大盗变种B　威胁级别：3A
病毒类型: 木马 受影响系统：Win9x, Windows 2000, Windows XP, Windows 2003　　

· 技术特点：（点击查看详情）

Ａ、将自身复制到%SystemDir%\\svch0st.exe
(通常为C:\WinNT\system32、C:\Windows\system32、C:\windows\system)

Ｂ、在注册表主键：
HKEY_CURRENT_USER \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Runonce下添加如下键值:
＂svch0st.exe” = “%SystemDir%\svch0st.exe＂
＂taskmgr.exe” = “%SystemDir%\svch0st.exe＂

Ｃ、该病毒每隔10毫秒检查当前系统是否在运行以下网页浏览器：
"Microsoft Internet Explorer"
"Netscape"
"Offline Explorer"
如果正在运行，病毒还会检测当前打开的窗口标题是否有以下文字：
招商银行个人银行
招商银行一网通：
中国工商银行新一代网上银行
申请牡丹信用卡
个人网上银行
中国工商银行网上银行
中国建设银行网上银行
登陆个人网上银行
中国建设银行
中国建设银行网上银行：
交通银行网上银行
交通银行网上银行：
深圳发展银行帐户查询系统
深圳发展银行|个人银行
深圳发展银行 | 个人用户申请表
深圳发展银行：
民生网个人普通版
民生银行：
网上银行--个人普通业务
华夏银行：
上海银行企业网上银行
上海银行：
首都电子商城商户管理平台
首都电子商城商户管理：
中国在线支付网: :IPAY网上支付中心
中国在线支付网商户：
招商银行网上支付中心
招商银行网上支付：
个人网上银行-网上支付
工商银行网上支付：
银联支付网关-->执行支付
银联支付网关：
招商银行一网通
个人银行大众版

Ｄ、如果以上检测都成功，病毒将又会启动一个时间控制器记录当前的所有键盘记录，包括字母、数字以及控制键。

Ｅ、病毒间隔60秒会将记录的信息发送至病毒作者指的网页
http://xastu.com/ding/get.asp

解决方案：

A、请使用金山毒霸2004年06月4日的病毒库可完全处理该病毒；
B、请广大网络用户提高警惕，不随意运行不知道的可执行程序，不打开网友传来的网页。即时打　上IE漏洞补丁，避免病毒利用网页传播；
C、请使用金山网镖拦载不知名的程序防问网络，如果存在此类程序，请及时上报；

D、手工解决方案：

　首先，如果系统为WinMe或WinXP，则请先关闭系统还原功能；
　（毒霸论坛：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能）

　 对于系统是Win9x/WinMe：

　 步骤一，删除病毒主程序
　请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为
　 C:\windows），分别输入以下命令，以便删除病毒程序：
　 C:\windows\system\>del svch0st.exe
　完毕后，取出系统软盘，重新引导到Windows系统。
　如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式；

　 步骤二，清除病毒在注册表里添加的项
　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　 HKEY_CURRENT_USER \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Runonce
　删除以下键值
　 “svch0st.exe” = “%SystemDir%\svch0st.exe”
　 “taskmgr.exe” = “%SystemDir%\svch0st.exe”
　关闭注册表编辑器。

　 对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever：

　 步骤一，使用进程序管里器结束病毒进程
　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。
　在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“svch0st.exe”，单击“
　结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　 步骤二，查找并删除病毒程序
　通过“我的电脑”或“资源管理器”进入系统安装目录（Winnt\system32或　　　
　 Windows\system32），找到文件“svch0st.exe”，将它删除；

　 步骤三，清除病毒在注册表里添加的项
　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　 HKEY_CURRENT_USER \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Runonce
　删除以下键值
　 “svch0st.exe” = “%SystemDir%\svch0st.exe”
　 “taskmgr.exe” = “%SystemDir%\svch0st.exe”
　关闭注册表编辑器。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

　　二、木马病毒：蔚蓝海岸传奇2木马（Win32.Troj.mir2WLHA）★

　　蔚蓝海岸传奇2木马(Win32.Troj.mir2WLHA)，木马病毒，随机自启动，窃取用户系统中的传奇游戏密码，并发送到指定邮箱和web页面，该病毒会导致系统不稳定。

病毒名称： Win32.Troj.mir2WLHA　中文名称：蔚蓝海岸传奇2木马　威胁级别：1C　
受影响系统：Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

　　· 技术特点：（点击查看详情）

�

　解决方案：

　　· 请使用金山毒霸2004年06月03日的病毒库可完全处理该病毒；

　　· 手工解决方案：

　　　首先，如果系统为WinMe或WinXP，则请先关闭系统还原功能。
　　　（毒霸论坛：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能）

　 对于系统是Win9x/WinMe：

　 步骤一，删除病毒主程序
　请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为
　 C:\windows），分别输入以下命令，以便删除病毒程序：
　 C:\windows\>del win9x.exe

　完毕后，取出系统软盘，重新引导到Windows系统。
　如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

　 步骤二，清除病毒在注册表里添加的项
　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　在右边的面板中, 找到并删除如下项目：
　 "win9x.exe" = "win9x.exe"

　关闭注册表编辑器。

　 对于系统是Win2000/WinXP/Win2003：

　 步骤一，使用进程序管里器结束病毒进程
　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务
　管理器中，单击“进程”标签，在例表栏内找到病毒进程“win9x.exe”，单击“结束进程按
　钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　 步骤二，查找并删除病毒程序
　通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows)，找到文件"win9x.exe",
　将其删除；

　 步骤三，清除病毒在注册表里添加的项
　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　在右边的面板中, 找到并删除如下项目：
　 "win9x.exe" = "win9x.exe"

　关闭注册表编辑器。

专家提醒：

　　1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时升级中，请多关注金山毒霸安全咨询网（www.duba.net）上的最新病毒公告，或者订阅金山毒霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；
　　duba.net已经推出“在线病毒日历”，及时为您播报近期危险病毒,敬请关注；
　　如没有安装金山毒霸，可以登录http://online.kingsoft.net使用金山毒霸在线杀毒或是金山毒霸下载版来防止该病毒的入侵；

　　2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

　　3、请一定留意收到的邮件，如果有附件，请不要打开附件，更不要执行附件中的可执行程序，注意病毒程序伪装的图标，不要轻信图标为“电子表格、文本文件、文件夹”的附件；

　　4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。

如发现可疑文件，请email至:virus@kingsoft.net
数据修复急救，请登陆：http://support.kingsoft.net

【责任编辑：Ada】