2004年12月29日，江民反病毒中心率先截獲首例“隱形病毒”Backdoor/Byshell.a，并將其命名為“隱形大盜”。該病毒運(yùn)行后，以線程方式插入系統(tǒng)進(jìn)程中，并立即將自身病毒體刪除，以躲避反病毒軟件的查殺。病毒還會(huì)使用掛接鉤子和端口映射等技術(shù)手段，使得用戶電腦在毫無(wú)癥兆的情況下即被黑客遠(yuǎn)程控制。

　　病毒感染成功后，會(huì)綁定后門在TCP端口138，并偵聽黑客指令，可以完成遠(yuǎn)程關(guān)閉用戶計(jì)算機(jī)、結(jié)束用戶進(jìn)程、下載用戶文件等操作?！半[形大盜”還會(huì)創(chuàng)建全局鉤子，監(jiān)視用戶關(guān)機(jī)、重啟等操作，以在系統(tǒng)關(guān)閉之前重新創(chuàng)建病毒文件和啟動(dòng)項(xiàng)，使病毒在下次開機(jī)時(shí)能自動(dòng)運(yùn)行。

　　由于隱形大盜運(yùn)行后的刪除病毒體，插入系統(tǒng)進(jìn)程的“隱形”特性，增加了殺毒軟件查殺該病毒難度。但隱形大盜并非不可降伏，江民反病毒專家日前就給用戶支出了降“盜”三招，可以使隱形大盜原形畢露，斬?cái)嚯[形大盜伸出的“黑手”。

　　一、殺其于未然。及時(shí)升級(jí)KV2005殺毒軟件到12月29日病毒庫(kù)，并打開所有病毒實(shí)時(shí)監(jiān)控(特別是文件監(jiān)視)，以便第一時(shí)間斬殺該病毒文件主體。

　　二、封堵TCP138端口。由于病毒綁定后門在TCP端口138，并偵聽黑客指令，企圖盜取被感染機(jī)器的私密文件，因此，只要關(guān)閉該端口，就可以最大程度降低該病毒危害。(封堵TCP138端口可以使用一些防火墻軟件設(shè)置，或使用WIN2000以上操作系統(tǒng)自帶的TCP/IP篩選功能，普通個(gè)人用戶可選擇只使用80端口)

　　三、斷電關(guān)機(jī)。懷疑感染“隱形大盜”，千萬(wàn)進(jìn)行正常的系統(tǒng)關(guān)機(jī)或重啟，因?yàn)檫@些操作都在病毒的監(jiān)控之列，病毒監(jiān)控到這些操作指令后會(huì)在系統(tǒng)關(guān)閉之前重新創(chuàng)建病毒文件和啟動(dòng)項(xiàng)，使病毒在下次開機(jī)時(shí)自動(dòng)運(yùn)行。采用立即斷電關(guān)機(jī)的方法，就使“隱形大盜”病毒失去了重寫文件的機(jī)會(huì)。

最新評(píng)論