ChinaByte 2月12日消息 反病毒厂商瑞星称近日发现了一种针对遭到Mydoom病毒感染计算机的新型攻击。
国外专家称该病毒(Worm.Deadhat)会随机扫描遭到Mydoom-A以及Mydoom-B感染的计算机留的后门端口,一旦它控制了受感染的机器,该病毒即把Mydoom所有痕迹统统删除,并将自己复制到SoulSeek文件共享系统(若已经安装)。在此过程当中,Mydoom的开放端口被关闭,Deadhat然后打开一个新的TCP端口并等待进一步的指令,只有密码钥匙才能解开这些指令。如果解密成功的话,后门(backdoor)即接收一个文件准备上传和执行。
Deadhat并不通过电子邮件传播,它属于自我传播类型。通过搜索计数器开放端口,它可以积极地进行自我安装。Deadhat的互联网传播聊天部分与预先确定的IRC服务器相互连接,并通过特殊渠道听取进一步指令。后门(backdoor)支持不同的指令从而可以在受感染的计算机上下载并执行具体的程序。
据瑞星反病毒工程师介绍,病毒运行后将自己复制到系统目录下,并在注册表启动项中加入自己的键值:KernelFaultChk以达到随系统启动的目的。病毒还会将自己复制到p2p软件的共享目录中,伪装成一些软件的破解或序号生成器以诱骗网络用户下载。
Mi2g执行主席马泰(DK Matai)发出警告称,“Deadhat扩散以后,Mydoom病毒的大军将把控制权交给Deadhat的作者”,国内专家称目前看来此病毒还没有具体的危害,主要目的是为了清除mydoom病毒。但因为此病毒会扫描系统进程列表,终止一些反病毒软件的运行,会降低用户的安全级别,从而间接影响用户的安全。(完)
附:瑞星公司提供的Mydoom病毒邮件数量
