4月7日，金山毒霸全球反病毒监测中心发布周（4.7-4.13）病毒预警，被磁碟机、机器狗等木马下载器盖过风头好一阵子后，远程控制木马又蠢蠢欲动起来。近期需警惕一个类似“灰鸽子”的远程控制木马“隐形鸽子192512”（Win32.Troj.Leapar.sb.192512），该病毒在用户电脑中隐蔽运行，远程监视用户屏幕、键盘操作，使用户电脑成为“肉鸡”。比灰鸽子更甚的是，“隐形鸽子”能加载驱动造成杀毒软件瘫痪，这正是“磁碟机”的惯用伎俩。

金山毒霸反病毒专家李铁军表示，“隐形鸽子192512”病毒运行后，搜索系统中是否有杀毒软件的进程，如发现，则释放出自己的驱动文件，造成杀毒软件瘫痪。病毒还会将自己的窗口名注册为“Microsoft Internet Explorer”，类名注册为“IEFrame”，试图混淆用户的判断，并且采取无进程无模块的作案方式，给普通用户的手工清除带来很大的困难，具有较大的危害性。

李铁军分析指出，病毒进入系统，首先在系统临时目录下释放出一个名为XXXX.dat的配置文件，其中XXXX为随机产生的四位数。接着，病毒搜索系统中是否有杀毒软件进程，如发现，病毒释放自身驱动文件及dll格式文件，突破杀软的防御措施，同时，病毒在注册表中注册为windows服务，实现开机自启动。最后，病毒释放出dll文件，将其注入到svchost.exe中，然后隐藏在用户机器中，实现远程监视，隐蔽运行。

本周内广大电脑用户除了需要警惕“隐形鸽子192512”之外，还需要特别警惕“雁过留声盗号器118784”（Win32.PSWTroj.OnLineGames.118784）与“视窗杀手248”（Win32.KillWin.jz.248）两大病毒。

前者是一个盗号木马程序，通过网页挂马和捆绑文件等方式混进用户电脑修改注册表实现自动启动，然后在IE浏览器的后面创造一个IE服务器，当发现用户通过IE发出账号和密码时，就被它截取了一次，从而实现盗号。由于普通用户在上网时需要用到的大部分账号和密码都是通过IE发送，因此病毒也就成为一个“通吃”型盗号木马，使用户虚拟财产受到极大损失；后者是一个极具破坏性的恶作剧病毒程序，它利用感染正常文件进行传播，病毒会删除C盘中的boot.ini、ntldr、bootmgr等重要的系统启动文件，造成用户在下一次使用电脑时，电脑无法正常启动，虽然修复病毒造成的破坏并不复杂，但这已经足以给用户的正常使用带来很大的麻烦

如果是商业电脑中了此毒，可能会令用户蒙受巨额的经济损失。

 

来源： 转载