频道栏目
首页 > 资讯 > 系统安全 > 正文

防止W32/Fusic邮件病毒给你的电脑下钩子

04-10-03        来源:[db:作者]  
收藏   我要投稿

近日,江民公司最新监测到一种名为W32/Fusic的网络蠕虫病毒,该病毒有后门的能力,能够复制电子邮件,它使用MAPI把自己发送给Windows地址薄中的联系人。病毒大小为212992 bytes 24576 bytes 69632 bytes,感染的有效系统为除WINDOWS3.X和WINDOWS IIS外的所有WINDOWS系统。

江民反病毒专家介绍:该病毒运行时,会把自己拷贝到文件systemKernelKernel32.exe,同时在系统目录下创建两个文件:FuncDLL.dll和IEHelper.dll。这两个文件木马通过钩子来截获键盘消息,IEHelper.dll能在用户向IE浏览器网页字段输入内容时截获事件。并把截获的数据和URL记录到文件systemPasslogx.log中。如果系统中存在这个文件,说明系统可能已经感染,而且通过它可以知道哪些信息被截取了。

蠕虫向注册表中增添以下包含配置文件信息的键值:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,

kernel systemkernelkernel32.exe

HKEY_LOCAL_MACHINESOFTWAREkernel

HKEY_LOCAL_MACHINESOFTWAREkernelA09b37xz

如果系统是Windows 95/98/Me,它把自己注册成一个服务进程,这样系统在注销以后还在运行,只有在关闭系统之后才停止运行。

病毒安装一个钩子过程到系统中监视键盘和鼠标消息,开始等待远程客户端的命令,黑客通过远程控制获得系统及网络重要信息。

病毒发送邮件时还会检查收件人所在地区,如果不是中国就用英文发送,如果是中国内容就显示为中文。

江民提醒用户:请及时升级KV3000杀毒王病毒库,即可对此病毒进行有效前杀。

已感染的用户,手动清除方法如下:

1.更新KV3000杀毒王病毒库,全面扫描系统,把检测到感染W32/Fusic的文件全部删除;

2.打开注册表,删除下面的键值:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,

kernel systemkernelkernel32.exe

HKEY_LOCAL_MACHINESOFTWAREkernel

HKEY_LOCAL_MACHINESOFTWAREkernelA09b37xz

相关TAG标签
上一篇:从一次染毒结识folder.htt到解毒过程到思考
下一篇:“新娘”的背后是什么?Win32.brid病毒分析报告
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站