恶性木马

罙；鱫 · 发表于 2009-1-11 16:06

（一） Qhbpri木马
1.下载大量其它木马，使系统速度变慢
该木马在系统连网状态下会大量下载其它木马，使系统响应速度越来越慢，最后彻底失去响应（死机）。
2.变形、复制，普通方式无法彻底清除
该木马变名，变形，大量自我复制（*pri.dll，前面为变名字母），躲避杀毒软件查杀，普通方式清除完后扫描又会出现，无法彻底清理。
3.隐藏深，普通方式难以发现
非法修改Windows注册表AppInit_DLLs达到优先启动的效果，并隐蔽插入到其他程序进程，普通方式难以检测。
如果用户开启有360安全卫士实时保护的“系统关键位置保护”，将会在开机时发现360安全卫士滑出的提示信息：“qhbpri木马”和“未知启动项AppInit_DLLs正在被装入”
4.与木马服务器通讯，盗窃网络财产
将用户网银及网游等帐号和密码通过后台方式发送给指定的木马服务器，使用户财产无形中被盗取。
下载专杀
（二）机器狗木马病毒
1、中毒症状：
如果360无法打开或者打开之后被关闭,系统变的非常慢,系统时间莫名其妙被更改。"我的电脑"的图标不正确,输入法无法打开，说明可能中了机器狗。
2、机器狗木马病毒简介：
机器狗，是一种病毒下载器，它可以给用户的电脑下载大量的木马、病毒、恶意软件、插件等。一旦中招，用户的电脑便随时可能感染任何木马、病毒，这些木马病毒会疯狂地盗用用户的隐私资料（如帐号密码、私密文件等），也会破坏操作系统，使用户的机器无法正常运行，它还可以通过内部网络传播、下载U盘病毒和Arp攻击病毒，能引发整个网络的电脑全部自动重启。对于网吧而言，机器狗就是剑指网吧而来，针对所有的还原产品设计，其破坏力可能会很快会超过熊猫烧香。

3、机器狗工作原理：
机器狗工作原理：机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬盘驱动，提高自己的优先级接替还原卡或冰点的硬盘驱动，然后访问指定的网址，这些网址只要连接就会自动下载大量的病毒与恶意插件。360病毒安全专家提示您：一旦发现电脑工作异常，请立刻下载机器狗木马专杀工具并进行查杀，确保您的电脑安全.
下载专杀
（三）Javqhc木马
1、安全软件硬盘文件被删除
无法打开360、诊断工具等安全软件，运行后被立刻删除。
2、常用域名被劫持到其它域名
该木马会修改 hosts 表，奇虎360、卡巴斯基、金山、江民、瑞星、赛门铁克等安全厂商的升级服务器、主页、论坛的域名，均被劫持IP为222.73.126.115的主机，画面为假冒百度网，域名显示为cn.yahoo.com。
3、病毒文件写入常用软件安装目录
发现系统中 qq 安装目录下有 wsock32.dll 存在。
下载专杀