【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意“琼度btu” 、“代理下载者rqj”、“Win32.Agobot.BCB” 、“木马下载器40960” 和“大话西游Ⅱ盗号器102456”在明天的病毒中,都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“琼度btu” 威胁级别:★★★★
该病毒后门类,病毒运行后获取系统文件夹路径%System32%/drivers/beep.sys,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%/drivers/目录下的beep.sys文件删除,并创建一个同名的文件,以系统原服务加载病毒释放的驱动文件,达到不对注册表操作的目的,即可躲避多款杀软的主动防御,释放驱动文件恢复SSDT使卡巴主动防御失效,等待加载完驱动后将beep.sys驱动文件删除,释放临时文件1923531_res.tmp到%temp%目录下,将文件创建时间修改成2004年然后将文件拷贝到%System32%目录下并重命名为:BITSEx.dll,执行完毕后将临时文件1923531_res.tmp删除,修改添加注册表病毒项,将病毒BITSEx.dll文件注入到svhost.exe进程中,等待病毒执行完以上操作将以命令行方式删除病毒自身,等待接受病毒作者发送的控制指令,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。
◆“Win32.Agobot.BCB” 威胁级别:★★
win32.Agobot是一种利用IRC控制后门的病毒,可以未经授权进入受感染的机器。它也具有类似蠕虫的功能,可以通过弱口令进入共享,并利用很多不同的软件漏洞进行传播,同时可以利用其它的恶意程序生成的后门进行传播。Agobot有很多种变体,不同变体的核心功能是一致的。win32.Agobot.BCB是大小为247,808字节的Win32可运行程序。
◆“代理下载者rqj” 威胁级别:★★★
该病毒为下载者木马类,病毒运行后调用API函数CreateMutexA创建互斥量,在%Windir%目录下创建Down_Temp文件夹,并在该文件夹下创建一个list.jpg文件,该文件为病毒下载列表,调用URLDownloadToFileA函数读取列表访问网络下载病毒文件,下载完毕后删除list.jpg文件,下载的病毒文件多数为盗号木马类,给用户清理造成很大的不便。
◆“木马下载器40960” 威胁级别:★
该毒进入用户系统后,会在当前所在目录下运行起来。它把自己注册为启动项,实现开机自启动。当成功运行起来,它就在后台悄悄连接网络,循环登录病毒作者指定的三个不同的远程服务器,尝试执行下载任务。只要三个服务器中的任何一个连接成功,病毒就会首先下载自己的更新文件,获取最新的功能和指令,然后执行这些新指令。经毒霸反病毒工程师检查,新指令主要是下载其它木马文件,也可以是对用户电脑进行控制。如果三个远程服务器都连接失败,该毒就退出自己的进程,并在系统的临时目录文件夹创建一个gdsh0.bat文件,用于自删除,避免自己的样本被用户或杀毒软件发现。
中了该毒的一个症状是,用户的IE搜索中会自动增加多个搜索引擎的地址。
◆“大话西游Ⅱ盗号器102456” 威胁级别:★
这个盗号木马运行原理比较简单,如果不是借助对抗型下载器传播,大部分安全软件都可以拦截它。它进入系统后,首先释放出自己的3个病毒文件,位于%WINDOWS%/system32/目录下,分别是gsdhadwd.sys、mndhcdwd.dll、pldhadwd.exe 。接着它修改注册表启动项,实现开机子启动后。如能运行起来就会不断查找网游《大话西游Ⅱ》的进程,注入其中,读取用户输入的帐号密码信息。病毒会把盗取得到的账号和密码通过网页提交的方式发送病毒作者指定的远程地址中,并删除自己的原始文件,躲避查杀。
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,金山、安天实验室、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢金山、冠群金辰和安天实验室为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
上一篇: 14日病毒预报:加强对木马病毒的查杀意识
下一篇:下面没有链接了
