用户电脑遭黑客遥控“牧民”成罪魁祸首

金山毒霸全球反病毒监测中心发布周(2.25-3.2)病毒预警，本周一种黑客病毒"牧民远程控制361984"(Win32.Hack.Delf.388261)正在疯狂作案。黑客可利用该病毒控制用户电脑，使之沦为"肉鸡"，进而给用户带来无法估计的损失和麻烦。

　　金山毒霸反病毒专家李铁军表示，该病毒进入系统后即刻创建后门，并将自己设置为开机自启动。然后在用户无法察觉的情况下开启远程线程，连接http://yk2812017.3322.org:8000这个由黑客(木马种植者)指定的地址，使黑客可以控制被感染机器。

　　李铁军分析指出，病毒顺利潜入用户系统后，将病毒文件sysi.dll释放到系统盘的%WINDOWS%%system32目录下，然后修改系统注册表，创建系统服务，添加了可令电脑自动上线的数据。当病毒开始运行，它会创建单独的svchost.exe进程，但由于svchost.exe在正常的电脑中也可能同时出现多个，这就造成一些初级用户感到迷惑，难以识别哪个是病毒进程。而当黑客控制中毒电脑后，他就能进行几乎任何想要的操作，甚至利用中毒电脑去攻击其它电脑，给用户带来极大的威胁。

　　据了解，本周内广大电脑用户除了需要警惕"牧民远程控制 "之外，还需要特别警惕"覆盖式下载器 "(Win32.Troj.Agent.tr )与"AUTO下载者135168 "(Worm.AutoRun.125893)两大病毒。前者病毒进入系统后，覆盖感染系统桌面进程的文件explorer.exe，只要用户启动电脑，病毒就能够随着explorer.exe的运行而跟着跑起来。然后修改系统时间为2001年使用户可能装有的"卡巴斯基"失效并强行中止安全辅助软件"360安全卫士"的进程，接着建立远程连接，从木马种植者制定的网址http://www.33**92.com/下载更多的其它恶意程序，给用户系统造成各种可能的破坏。后者运行后，在用户无法察觉的情况下启动IE浏览器的进程，创建远线程，从木马种植者指定的地址http://ee.*v**av.com下载完整的自身程序到本地运行。并感染本机和局域网内其它电脑中的exe和scr格式的文件。另外木马程序还会查找已连接到中毒电脑上的U盘等移动存储设备，利用移动存储器来扩大自己的传播范围。