病毒假冒“百度HI”加速传播江民发布专杀工具

来源：51CTO.com 作者：Arade 出处：巧巧读书 2008-03-04 进入讨论组

2008年3月3日，江民反病毒中心发布病毒警报，一种伪装成百度即时通讯工具“百度HI”的病毒正在通过网络加速传播，该病毒最早在上周五（2月29日）被首次截获。

病毒传播者利用近期倍受关注的百度即将推出即时通讯工具“百度HI”的热点新闻，在各大论坛以及贴吧里发布下载链接，假冒“百度HI”即时通讯软件诱使用户下载。

江民反病毒专家介绍，该病毒是一个远程控制后门程序，和“灰鸽子”的功能十分相似。中毒后电脑会变成网络僵尸，骇客可以远程任意控制被感染的计算机，还可以窃取用户计算机里所有的机密信息资料。

病毒运行后，在“C:\WINDOWS”目录下生成病毒文件nod32.exe，文件属性设置为：只读、系统隐藏、存档。病毒在后台调用系统“C:\windows\system32\svchost.exe”进程，把恶意可执行代码都注入到该进程中，然后调用执行。病毒通过此举隐藏自身，使普通用户很难发觉。病毒还会使用刚刚调用起来的系统“svchost.exe”进程把病毒程序“C:\WINDOWS\nod32.exe”文件以独占的方式打开，在不关闭“svchost.exe”进程的情况下，用户根本无法手工删除病毒主程序。

让江民反病毒专家疑惑的是，假“百度HI”病毒在内存放一些IP地址数据，分析显示该IP地址来自美国，但无从知晓该IP地址的具体用途。
分析还显示，病毒运行后通过一个位于广东省东莞市的IP地址实现通讯，通讯端口为OICQ Server[8000]，病毒运行后，会将自身安装程序删除，这样除了注入到svchost.exe内的可执行代码之外，系统内没有任何该病毒的文件。

转载:http://www.qqread.com/virus/w399615.html