2004年12月29日,江民反病毒中心率先截获首例“隐形病毒”Backdoor/Byshell.a,并将其命名为“隐形大盗”。该病毒运行后,以线程方式插入系统进程中,并立即将自身病毒体删除,以躲避反病毒软件的查杀。病毒还会使用挂接钩子和端口映射等技术手段,使得用户电脑在毫无症兆的情况下即被黑客远程控制。
病毒感染成功后,会绑定后门在TCP端口138,并侦听黑客指令,可以完成远程关闭用户计算机、结束用户进程、下载用户文件等操作。“隐形大盗”还会创建全局钩子,监视用户关机、重启等操作,以在系统关闭之前重新创建病毒文件和启动项,使病毒在下次开机时能自动运行。
由于隐形大盗运行后的删除病毒体,插入系统进程的“隐形”特性,增加了杀毒软件查杀该病毒难度。但隐形大盗并非不可降伏,江民反病毒专家日前就给用户支出了降“盗”三招,可以使隐形大盗原形毕露,斩断隐形大盗伸出的“黑手”。
一、杀其于未然。及时升级KV2005杀毒软件到12月29日病毒库,并打开所有病毒实时监控(特别是文件监视),以便第一时间斩杀该病毒文件主体。
二、封堵TCP138端口。由于病毒绑定后门在TCP端口138,并侦听黑客指令,企图盗取被感染机器的私密文件,因此,只要关闭该端口,就可以最大程度降低该病毒危害。(封堵TCP138端口可以使用一些防火墙软件设置,或使用WIN2000以上操作系统自带的TCP/IP筛选功能,普通个人用户可选择只使用80端口)
三、断电关机。怀疑感染“隐形大盗”,千万进行正常的系统关机或重启,因为这些操作都在病毒的监控之列,病毒监控到这些操作指令后会在系统关闭之前重新创建病毒文件和启动项,使病毒在下次开机时自动运行。采用立即断电关机的方法,就使“隐形大盗”病毒失去了重写文件的机会。
