每日病毒及木马播报(2008-04-23)

日期：2008-04-23
病毒名称：Backdoor.Ripgof.C
病毒类型：病毒
危害指数：3
传播途径：网站
传播平台： WinNT/Windows 2000/Windows XP/Windows 2003/Me/ Vista
 

病毒描述：
该病毒属后门病毒，长度 179,406 字节，感染 Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 系统。它修改注册表，打开后门等待黑客命令。
行为分析：
    A 创建以下文件
    Win目录\Help\PWREP.CHI
    Win目录\inf\iplbk.inf
    Win目录\inf\optkec.inf
    Win目录\kentgo.log
    系统目录\niprp.dll
    系统目录\pwfsh.dll
    B 如果回收站（Recycled）目录存在，产生以下文件
    ctv.dat
    lip.dat
    qkf.dat
    C 创建修改以下注册表
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC888631-57F5-4AF4-86B3-BDE5F854DCBF}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5ECDAA08-B706-41C6-8F09-C69D1C45C66A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C3F4AE31-32C0-4D31-A90C-7B774CA8683D}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PWFlash.PowerFlash
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PWFlash.PowerFlash.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC888631-57F5-4AF4-86B3-BDE5F854DCBF}
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_IPRIP
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Iprip
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DC888631-57F5-4AF4-86B3-BDE5F854DCBF}
    D 打开后门，连接恶意网站地址等待命令 
 
 
墨者安全专家建议：
1.请开启墨者安全专家的“革离术”并根据提示创建安全用户，在安全用户下将获得墨者安全专家的实时防护，根据“革离术”特有的技术，判定为正常软件，给予默认放行。将陌生的的程序，提示给用户，然后用户自行进行判断，将识别的恶意程序，给予“革离”使其失去运行的环境无法造成对系统的侵害。
 
2.建议已安装其他杀毒软件的用户，下载并安装墨者安全专家版，并开启“革离术”保护自己的杀毒软件，和其它计算机安全软件不会被此病毒所关掉，和破坏。以保障所使用的计算机安全防护软件能正常的运行和所有功能的正常使用。
 
3.点击墨者安全专家控制台——选择漏洞补丁——选择禁止优盘光驱自动运行。
 
4.请开启墨者安全专家的“革离术”进行实时防护，并使用系统安全漏洞中心，检查系统漏洞，发现漏洞请点击“修复”完成漏洞修补。
 
5.喜欢玩网络游戏、利用QQ聊天的用户，建议一定要养成良好的网络使用习惯，及时开启防火墙监控功能，切断病毒传播的途径，不给病毒以可乘之机。
 
6.保持使用墨者安全豪华版套装中的正版趋势反病毒专家，进行对系统病毒经常扫描的习惯，发现病毒或者隐患及时清除。
 
7.请将墨者安全豪华版中的正版趋势反病毒专家的自动升级功能开启，保持自动更新为最新病毒库，保证病毒及木马的及时发现及清除。