用戶電腦遭黑客遙控 「牧民」成罪魁禍首

2月25日，金山毒霸全球反病毒監測中心發佈周（2.25-3.2）病毒預警，本週一種黑客病毒「牧民遠程控制361984」（Win32.Hack.Delf.388261）正在瘋狂作案。黑客可利用該病毒控制用戶電腦，使之淪為「肉雞」，進而給用戶帶來無法估計的損失和麻煩。

金山毒霸反病毒專家李鐵軍表示，該病毒進入系統後即刻創建後門，並將自己設置為開機自啟動。然後在用戶無法察覺的情況下開啟遠程線程，連接http://yk2812017.3322.org:8000這個由黑客（木馬種植者）指定的地址，使黑客可以控制被感染機器。

李鐵軍分析指出，病毒順利潛入用戶系統後，將病毒文件sysi.dll釋放到系統盤的%WINDOWS%%/system32目錄下，然後修改系統註冊表，創建系統服務，添加了可令電腦自動上線的資料。當病毒開始運行，它會創建單獨的svchost.exe進程，但由於svchost.exe在正常的電腦中也可能同時出現多個，這就造成一些初級用戶感到迷惑，難以識別哪個是病毒進程。而當黑客控制中毒電腦後，他就能進行幾乎任何想要的操作，甚至利用中毒電腦去攻擊其它電腦，給用戶帶來極大的威脅。

據瞭解，本周內廣大電腦用戶除了需要警惕「牧民遠程控制 」之外，還需要特別警惕「覆蓋式下載器 」（Win32.Troj.Agent.tr ）與「AUTO下載者135168 」（Worm.AutoRun.125893）兩大病毒。前者病毒進入系統後，覆蓋感染系統桌面進程的文件explorer.exe，只要用戶啟動電腦，病毒就能夠隨著explorer.exe的運行而跟著跑起來。然後修改系統時間為2001年使用戶可能裝有的「卡巴斯基」失效並強行中止安全輔助軟體「360安全衛士」的進程，接著建立遠程連接，從木馬種植者制定的網址http://www.33**92.com/下載更多的其它惡意程序，給用戶系統造成各種可能的破壞。後者運行後，在用戶無法察覺的情況下啟動IE瀏覽器的進程，創建遠線程，從木馬種植者指定的地址http://ee.*v**av.com下載完整的自身程序到本地運行。並感染本機和局域網內其它電腦中的exe和scr格式的文件。另外木馬程序還會查找已連接到中毒電腦上的USB隨身碟等移動儲存設備，利用移動儲存器來擴大自己的傳播範圍。

(