[注意]上网聊天提防“酷狼”木马病毒

上网聊天提防“酷狼”木马病毒 (2002-12-13 16:12:33) 江民快速反病毒小组最新监测到一种名为“酷狼”（Backdoor/Coreflood）的木马病毒，该病毒运行时，会接到一个IRC服务器，并把被感染计算机的控制权交给黑客，黑客试图通过它进行DoS（拒绝服务）攻击。该病毒大小43,008字节，24,576字节，感染的有效系统为除WIN3.X以外的所有WINDOWS系统。 江民反病毒专家介绍，木马有两部分组成：一个是.exe文件，这是程序加载部分，另一个是.dll文件，是木马的主要部分。木马运行时，会把.dll文件释放出来，并随机取一个文件名把自身和.dll文件一起拷贝到系统文件夹下（不同操作系统路径也有差别）。木马的.exe文件调用.dll文件中的函数开始执行主程序，主程序用钩子钩住Explorer.exe进程，这样木马可以得到与Explorer.exe进程相关的所有活动；同时，向注册表增加下面的键值：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run，<文件名> %system%\<文件名.扩展名>，这样，以后每次启动系统时，都会运行木马，而且木马会监视这个键值，一旦被修改或删除了，它就会再加上。 最后，木马连接到一个IRC服务器，加入一个指定的聊天频道，开始监听并执行命令；这样，黑客可以不要经过授权就能访问被感染的计算机，而且可以操纵系统对别的计算机进行DoS攻击。 江民公司提醒用户，及时升级更新KV3000杀毒王病毒库，即可对此木马病毒进行有效前杀和清除。 已感染此木马用户，具体清除方法如下： 1.升级更新KV3000杀毒王病毒库，全面扫描系统，把检测到感染Backdoor/Coreflood的文件全部删除； 2.打开注册表，删除下面的键值HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run，<文件名> %system%\<文件名.扩展名>