【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意:在明天的病毒中“伪颗粒”变种、“苍蝇贼”变种、“U盘寄生虫”和“糇剋”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“伪颗粒”变种alr运行后,自我复制到被感染计算机系统的“%SystemRoot%/system32/dllcache/”目录下,重命名为“ntvdamie.exe”。修改注册表,实现木马开机自启动。强行关闭“Windows安全中心”服务。循环检测窗口名称,一旦发现与安全相关的标题便将其强行关闭。在进程列表中查找数十种安全软件以及安全辅助工具,一旦发现便强行将其关闭,极大地降低了被感染计算机的安全设置。在后台秘密监视用户打开的窗口标题,一旦发现用户打开《完美世界》、《诛仙》、《武林外传》等多种流行网络游戏的登陆窗口便记录用户的键盘操作,盗取游戏玩家的账号、密码、装备等重要游戏资料,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“伪颗粒”变种alr还具有自我删除的功能,以便消除痕迹。
◆“苍蝇贼”变种病毒是由其它恶意程序释放出来的DLL文件,一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被发现和查杀。“苍蝇贼”变种cs运行后,会在被感染计算机系统的后台秘密监视用户的键盘输入,窃取用户输入的大部分账号及密码等机密信息,并在后台将窃取到的用户机密信息发送到骇客指定的远程服务器站点或邮箱里,给被感染计算机用户带来不同程度的损失。“苍蝇贼”变种cs还会在系统的后台秘密连接骇客指定的服务器,侦听骇客指令,在被感染的计算机上执行相应的恶意操作,骇客通过“苍蝇贼”变种cs木马程序远程控制被感染的计算机系统,给用户的计算机安全和个人隐私带来严重的威胁,甚至还会对商业机密造成无法挽回的损失。
◆“U盘寄生虫”病毒属于蠕虫类。病毒运行后,在每个盘符根目录下释放autorun.inf、fhrqdpi.exe,以便于利用移动设备进行传播;在%ProgramFiles%下释放多个病毒文件,该病毒衍生的所有病毒文件的属性都设置为系统和隐藏。修改注册表项,隐藏受保护的操作系统文件,去除“文件夹选项”中的“隐藏受保护的操作系统文件”项,以阻止显示含有系统属性的病毒文件。添加启动项,当任意用户重新登陆系统时运行病毒文件afdyvnr.exe、nboqcey.exe。为了保护病毒进程,同时运行afdyvnr.exe、nboqcey.exe两个进程,通过检查互斥体,互相启动进程,形成进程互锁。删除安全模式相关驱动注册表项,禁止通过安全模式进入系统。添加注册表映像劫持,以屏蔽大量反病毒软件、安全工具。通过给当前系统内执行的进程拍快照,来判断是否存在AVP.exe进程,存在便修改系统时间为2005年11月15日,以使卡巴斯基过期失效。连接网络,下载病毒文件到本机运行。
◆“糇剋”病毒为木马类,病毒图标为文件夹图标,用以迷惑用户点击;病毒运行后检测当前目录下是否存在和该文件名相同的文件夹,若不存在,病毒程序退出,若存在衍生病毒文件到临时目录,系统目录下,并在启动文件夹下添加病毒文件的快捷方式,使病毒文件能够随系统文件启动;病毒运行完毕后,当有移动磁盘插入感染计算机后,病毒文件将设置所有移动磁盘根目录下的文件夹为隐藏属性,并在移动磁盘根目录下建立一个病毒名为隐藏文件夹名字的病毒体备份,对移动磁盘下的二级目录下的文件夹不做处理;修改注册表,添加启动项,使病毒文件随系统启动。
◆Win32.Windage.A是一种盗窃网络游戏密码的特洛伊病毒。运行时,Win32/Windage.A在%System%/drivers目录下生成两个文件"windf.exe" 和"windf.hlp"。它将这个DLL文件注入到几个正在运行的进程中,尝试隐藏病毒在被感染机器上的存在。它将收集的信息发送到www.llsoo.com域的一台远程服务器。
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、冠群金辰和安天实验室的病毒库均已更新,并能查杀上述病毒。感谢江民科技、冠群金辰和安天实验室为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
