您现在的位置:电脑故障首页 > 电脑病毒 > 1.22毒报:伪装对抗控制器远程控制 > 正文

1.22毒报:伪装对抗控制器远程控制

电脑故障提供关于1.22毒报:伪装对抗控制器远程控制的解决办法


  “伪装对抗控制器157229”(Win32.VirInstaller.Delf.nk.157229),这是一个远程控制程序。它把自己的文件伪装成XPSp3的进程,以此欺骗用户,躲避检查。该毒在建立远程连接前,会破坏系统的报警音模块,阻止系统发出异常警报,还会尝试关闭安全软件。

  “QQ盗号者28783”(Win32.Troj.QQRobber.28783),这是一个盗号木马。它针对的是QQ即时聊天工具的帐号和密码。该毒是由一款比较老的QQ盗号木马改造而来,属于新变种。

  一、“伪装对抗控制器157229”(Win32.VirInstaller.Delf.nk.157229)威胁级别:★★

  将自己的文件伪装成系统文件,是一种比较低级的躲避查杀手段,这种办法对付杀毒软件基本是无效的,因为目前大多数杀软不是光凭名称来判断病毒。不过,如果是没安装杀软的用户,就和容易上当。

  为了不让安全软件坏它的“好事”,该毒进入系统后立即搜索电脑中是否有安装主流的安全软件,尝试关闭它们的进程。并且该毒会删除系统%WINDOWS%SYSTEM32dllcache目录与WINDOWSSYSTEM32drivers目录下,用于控制电脑发出异常警报的模块Beep.sys。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-virinstaller-delf-nk-157229-53775.html

  二、“QQ盗号者28783”(Win32.Troj.QQRobber.28783)威胁级别:★

  病毒作者将旧病毒修改后重复使用,这已是很常见的事,通常情况下新的版本都会比旧版本更凶猛,但有时也会出现“一蟹不如一蟹”的情况。

  此次发现拦截率突然上升的Win32.Troj.QQRobber.28783,经分析后判定为Win32.Troj.QQRobber.fb这一老盗号者的变种。虽然病毒行为依然是利用键盘记录和内存注入等办法盗窃QQ号,但它却没有旧版本那么强的对抗能力。在旧版本中,该毒会尝试删除安全软件的进程。

  该毒的子文件会释放到%WINDOWS%SYSTEM32目录下,命名为NTdHcP.exe。毒霸反病毒工程师认为,该新变种可能是一些黑客新手用于练习的作品,因此才出现威力减弱的情况。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-qqrobber-28783-53776.html

  金山反病毒工程师建议

  1.最好安装专业的正版杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

  2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。