【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意:在明天的病毒中“X派”变种、“苍蝇贼”变种、“AUTO广告木马”、“黑客木马”、“U盘寄生虫”、“控制者kmq”和“Win32.Cutwail.ID”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“U盘寄生虫”该病毒为后门类,病毒图标为gif格式图片文件;病毒运行后判断当前文件是否为“虚拟艺术.exe”,若是则弹出“文件已损坏!的错误对话框,否则弹出病毒当前目录所在的目录;衍生病毒文件到系统目录下,在各个磁盘根目录下衍生autorun.inf文件和两份病毒副本;复制%Windir%/explorer.exe到%Program Files%/Internet Explorer目录下,更改%Windir%/explorer.exe文件名为explorer.exe2843201160430.91;修改注册表,更改bmp、gif、jpe、jpeg、jpg文件的关联方式到病毒文件。
◆“控制者kmq”此病毒为后门类病毒,该病毒运行后,复制自身到%system32%目录下重命名为:“Isass.exe”(随机病毒名),添加注册表启动项,创建线程用于扫描用户所在网络,若发现存在默认共享或弱口令则传播自身;衍生自删除bat文件在当前路径下,并调用该bat文件删除自身,连接网络下载病毒文件,此病毒为一个利用Windows平台下IRC协议的网络蠕虫,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。
◆Trojan/FlyStudio.cq“苍蝇贼”变种cq病毒是由其它恶意程序释放出来的DLL文件,一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被安全软件查杀、被用户发现。“苍蝇贼”变种cq运行时,会在被感染计算机系统的后台秘密监视用户的键盘输入,窃取用户输入的大部分账号及密码等机密信息资料,并在后台将窃取的这些机密信息资料发送到骇客指定的远程服务器站点上或邮箱里,给被感染计算机用户带来不同程度的损失。在后台秘密连接骇客指定的服务器站点,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过“苍蝇贼”变种cq远程控制被感染的计算机系统,给用户的计算机安全和个人隐私带来严重威胁,甚至还会对商业机密造成无法挽回的损失。
◆Trojan/XPACK.cjw“X派”变种cjw运行后会自我复制到被感染计算机系统的“%SystemRoot%/help/”目录下,文件名随机生成,文件属性设置为系统、隐藏。在被感染计算机系统的“%SystemRoot%/help/”目录下释放一个恶意DLL文件,文件名随机生成,该文件经过加壳保护处理,文件属性设置为系统、隐藏。“X派”变种cjw是一个盗榷魔兽世界Online》、《热血江湖Online》、《洛汗Online》等台湾网络游戏会员账号的木马程序,在被感染计算机的后台秘密监视正在运行的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备、物品和金钱等丢失,会给游戏玩家带来不同程度的损失。修改注册表,实现木马开机自动运行。
在后台秘密监视用户打开的所有网页窗口标题,一旦发现某官方网站的会员登陆窗口便开始记录键击,窃取用户输入的会员帐号、密码等机密信息,并在后台将窃取到的用户机密信息发送到骇客指定的远程服务器站点上,给被感染计算机用户带来一定程度的损失。在被感染计算机的后台秘密窃取用户所使用系统的配置信息,然后从骇客指定的远程服务器站点下载恶意程序并在被感染计算机上调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户计算机带来一定程度的威胁。另外,“X派”变种cjw在被感染计算机系统中安装完毕后,创建批处理程序文件并调用执行,将病毒自身的主安装程序删除掉,达到消除痕迹的目的。
◆“AUTO广告木马1513749”该木马是我们曾在9月18日的预警中做过播报的Win32.TrojDownloader.VB.184320的变种,它的主要行为同样是刷广告流量。该毒调用库函数里的数据,解密自己的配置文件,获取病毒作者安排好的广告网址,不断登录,为这些地址刷流量。而这些网站中,有不少是挂马网页,如果用户系统有安全漏洞,就很容易被其它病毒木马趁虚而入。该毒每30秒遍历一次系统,判断是否有U盘等移动存储器,若有,就复制自己到其根目录下,命名为Recycled.exe,并创建对应的AutoRun.inf文件。这样,只要用户将染毒U盘插到别的电脑上,此毒就能实现传染。
◆“黑客木马96392”这个木马程序行为比较单一,经毒霸反病毒工程师检查,除获取权限与进行远程连接外,对系统本身没有明显的破坏。该毒进入系统后就在%WINDOWS%目录中释放出自己的文件ts_62.exe和setup.exe,并修改注册表启动项,让自己随系统桌面进程一同启动,达到开机自动运行之目的。当顺利运行起来,就会接连微软官方的系统升级网站,以判断网络是否接通。如果网络连接正常,那么它就在后台悄悄登录病毒作者指定的黑客服务器,等待黑客发出指令。
◆Win32.Cutwail.ID 是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。
二、对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、冠群金辰和安天实验室的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天实验室为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
