病毒名称:“魔婆”(Backdoor/Mellpon)
病毒类型:后门
病毒大小:不固定
传播方式:网络
危害程度:★★
近日,江民反病毒中心接连截获伪装成文件夹的后门病毒Backdoor/Mellpon的多个变种样本。Backdoor/Mellpon运行后,会释放多个JPG图像文件,并会在TCP端口80开启HTTP服务,黑客通过该HTTP服务可以抓取被感染计算机的屏幕,并能够浏览和下载磁盘上的任意文件。
病毒具体技术特征如下:
1. 图标酷似文件夹(红色标记的是病毒程序):
2. 病毒被点击运行后,将删除自身,在当前目录下建立同名文件夹,并向该文件夹中释放大量JPG图片。这些图片通常是色情照片或漫画。这样的行为具有很大迷惑性,另用户认为打开的就是一个真正的文件夹。
3. 随机选取c:\program files目录里面任意子文件夹,向其中释放病毒程序svchost.exe(136K左右),并在注册表中添加启动项。使得病毒程序svchost.exe可以随Windows系统一同启动。
4. 在TCP端口80开启后门服务,黑客通过该服务,可以用IE等网页浏览器观看被感染计算机的当前屏幕,或浏览下载磁盘文件。
5. 病毒将自身加入Windows防火墙的信任程序列表,将TCP 80端口加入Windows防火墙的允许打开端口列表。这样,Windows防火墙对于黑客通过病毒HTTP服务的浏览下载操作都不会报警。
6. 结束多种杀毒软件、防火墙和调试工具进程,重定向多个常用网站,使得大多数常用杀毒软件无法升级。
针对该病毒,江民公司已经在第一时间升级。请广大用户一定要提高警惕,不要点击来源不明的文件,并立即升级到6月9日病毒库,即可全面查杀该病毒,保护您的系统不受威胁。
