5月28日病毒播报:黑客后门程序远程控制

【简 介】
“黑客后门程序20480”（Win32.Hack.Pangu.a.20480），这是一个黑客后门病毒。它为了隐藏自己，所取的病毒名和服务描述信息都比较象系统正常信息。它会修改系统防火墙的数据，然后连接远程服务器等待黑客指令。“MS06-014漏洞下载器1792”（JS.Downloader.qw.1792），这是一个Microsoft Data Access Components (MDAC) 实现缺陷的漏洞利用脚本，利用成功将会从脚本病毒指定的地址下载木马程序执行。
　　 “黑客后门程序20480”（Win32.Hack.Pangu.a.20480），这是一个黑客后门病毒。它为了隐藏自己，所取的病毒名和服务描述信息都比较象系统正常信息。它会修改系统防火墙的数据，然后连接远程服务器等待黑客指令。
　　 一、“MS06-014漏洞下载器1792”（JS.Downloader.qw.1792） 威胁级别：★★
　　 反病毒工程师发现，近来漏洞利用脚本病毒数量增加较快，而其中关于MDAC的漏洞脚本占了大多数。所谓的MDAC（Microsoft Data Access Components）是微软数据库访问组件，它广泛存在于安装有WINDOWS操作系统的用户的电脑中。
　　 脚本病毒的体积小，可利用感染数据库文件和网页挂马等方式传播，传染速度较快。如果用户利用未打上MS06-014安全补丁的电脑浏览网页或运行含毒文件，漏洞脚本病毒就可以在系统中运行起来。
　　 它运行后会在后台连接病毒作者指定的远程地址http://www.d**io.com/，下载一个名为Microsoft.com的木马程序到本地临时文件夹%tmp%中执行。由于采用Microsoft.com这个名字，很多用户会忽略它。但如果安装了中国人网络（www.chinarennet.com）提供的正版的杀毒软件进行全面监控，则可免去担心。
　
　 二、“黑客后门程序20480”（Win32.Hack.Pangu.a.20480） 威胁级别：★★
　　 这个后门程序会将自己的相关数据添加到系统注册表中，创建服务gu7788gu来加载文件，使自己能够随系统启动。
　　 为了欺骗用户，服务gu7788gu的描述信息是“客户端和服务器之间的 net send 和 alerter 服务消息。此服务与 windows messenger 无关。如果服务停止，alerter 消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动”
　　 同时，病毒修改系统注册表，将自身添加到windows防火墙的例外列表中，这样它就可以绕开系统安全模块的封锁，与外部网络自由通讯。
　　 完成以上步骤后，病毒就删除自己的原始文件，防止用户察觉系统中出现多余的东西。并连接远程端口61.1*8.*8.1*4：8001，等待病毒作者（黑客）的控制指令。
　　 习惯手动杀毒的用户则可以在%WINDOWS%\system32\目录下找到病毒文件notepde.exe。 如果自己不会操作请与中国人网络（www.chinarennet.com）客服联系。
　　 中国人网络（www.chinarennet.com）建议
　　 1.最好安装正版的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
　　 2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。
　　 如果中毒，请通过QQ（957710506，963906466，965196604），或电话：0931-6164602联系中国人网络为你提供的7*24小时在线服务。