新病毒档案 Trojan/Beway

Trojan/Beway病毒是今年7月24号被首次发现的。它是一种能够结束掉杀毒软件进程的特洛伊木马病毒。然而此木马病毒结束掉的进程大部分都是反病毒软件和网络安全软件所需要的。
病毒特征：
名称：Trojan/Beway  类型：Trojan  Horse  长度：6KB
可以被感染的系统：Windows 95，Windows 98，Windows NT，Windows 2000，Windows XP，Windows Me
不受感染的系统：Windows 3.X，Microsoft IIS，Macintosh，Unix，Linux
被感染的状态：
首先检查被感染主机的系统文件夹下是否存在一个叫做Vprot32.exe的可执行文件，如果这个文件不存在，那么这个特洛伊马病毒就会创建这个文件，同时把值VirusProt32%windir%vprot32.exe添加到注册表项HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun下。目的是每当被感染的主机上的系统启动时，就会自动执行这个特洛伊马程序。接着，这个特洛伊马试图把自己注册为系统上的一个服务进程。在这个注册表链接点中还可能试图把一些反病毒软件的系统服务给停止掉。一旦这个特洛伊马作为一个系统的服务运行起来，它就开始恶意地停止掉超过100其它的程序的进程。这些进程大部分都是反病毒软件和网络安全软件所需要的。最后，这个特洛伊马试图下载并释放出一个叫做Backdoor.Subseven的后门程序的拷贝文件，为了下载这个后门程序，它首先会尝试把IP地址指向www.microsoft.com，如果成功的话，这个特洛伊马就会下载Backdoor.Subseven后门程序的拷贝文件。
如果Backdoor.trojan被成功的安装到你的计算机上，你的计算机就可以被远程非法的用户访问，谁都不能保证你的计算机系统的完整性，并且远程的非法的用户可以在你的计算机上作如下的操作：
1：偷走或改变你的密码，甚至可以偷走你的密码文件。
2：安装远程连接主机的软件。
3：可以安装键盘死锁软件。
4：配置你的防火墙规则。
5：偷走你的信用卡号、密码等个人资料。
6：删除或改变你的文件。
7：更改用户的访问权限。
8：删除log文件从而隐藏对计算机做出的操作。
所以在计算机被感染后，一定要在病毒清楚完成后修改密码。

建议

其实许多的安全公司都建议所有的用户和一般的网络管理员需要做一些如下的基本操作，这样被感染病毒的可能性就大大的降低，甚至连Trojan/Beway这样的病毒也可以防御。

1：关闭掉所有不需要的服务。实际上，在缺省的情况下，许多的操作系统都会安装一些辅助的服务，例如：FTP、HTTP、Telnet等，而恰恰是这些服务是最容易受到攻击的。如果这些不需要的服务被停止了，并加上及时更新系统的补丁，那么系统被攻击的可能性也就大大的降低。
2：如果一个潜在的威胁通过使用一个或多个网络服务关掉或堵塞访问，这些服务就需要通过打补丁来解决。
3：经常保持你的补丁升级，特别是一些计算机上提供的公共的但是可以通过防火墙的服务，例如FTP，Mail，DNS等服务，更加需要你的补丁及时的升级。
4：增强你的密码管理策略，使用非常复杂的密码并且定期的更换将使你的计算机有更大的安全。
5：配置你的Email服务器，阻止或删除那种含有病毒附件的Email。例如含有.vbs，.bat，.exx等后缀的附件。
6：隔离网络中被感染的计算机，并进行相应的处理，直到被感染的计算机被恢复到没有病毒。
7：培训你的雇员进行安全等方面的操作。

杀毒方法
清除病毒的步骤如下：
1：从注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrent VersionRun中删除值VirusProt32。
2：重新启动你的计算机，对你的整个计算机进行扫描，删掉所有的与Trojan/Beway相关的文件。
特别提醒：强烈推荐大家在改变你的注册表的时候，一定要做好注册表的备份，不正确的注册表册修改会使你的数据丢失甚至软件毁坏。

作者:付飞