2004年12月29日，江民反病毒中心率先截獲首例“隱形病毒”Backdoor/Byshell.a，并將其命名為“隱形大盜”。該病毒運行后，以線程方式插入系統進程中，并立即將自身病毒體刪除，以躲避反病毒軟件的查殺。病毒還會使用掛接鉤子和端口映射等技術手段，使得用戶電腦在毫無癥兆的情況下即被黑客遠程控制。

　　病毒感染成功后，會綁定后門在TCP端口138，并偵聽黑客指令，可以完成遠程關閉用戶計算機、結束用戶進程、下載用戶文件等操作?！半[形大盜”還會創(chuàng)建全局鉤子，監(jiān)視用戶關機、重啟等操作，以在系統關閉之前重新創(chuàng)建病毒文件和啟動項，使病毒在下次開機時能自動運行。

　　由于隱形大盜運行后的刪除病毒體，插入系統進程的“隱形”特性，增加了殺毒軟件查殺該病毒難度。但隱形大盜并非不可降伏，江民反病毒專家日前就給用戶支出了降“盜”三招，可以使隱形大盜原形畢露，斬斷隱形大盜伸出的“黑手”。

　　一、殺其于未然。及時升級KV2005殺毒軟件到12月29日病毒庫，并打開所有病毒實時監(jiān)控(特別是文件監(jiān)視)，以便第一時間斬殺該病毒文件主體。

　　二、封堵TCP138端口。由于病毒綁定后門在TCP端口138，并偵聽黑客指令，企圖盜取被感染機器的私密文件，因此，只要關閉該端口，就可以最大程度降低該病毒危害。(封堵TCP138端口可以使用一些防火墻軟件設置，或使用WIN2000以上操作系統自帶的TCP/IP篩選功能，普通個人用戶可選擇只使用80端口)

　　三、斷電關機。懷疑感染“隱形大盜”，千萬進行正常的系統關機或重啟，因為這些操作都在病毒的監(jiān)控之列，病毒監(jiān)控到這些操作指令后會在系統關閉之前重新創(chuàng)建病毒文件和啟動項，使病毒在下次開機時自動運行。采用立即斷電關機的方法，就使“隱形大盜”病毒失去了重寫文件的機會。

最新評論