【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意:在明天的病毒中“霸族”变种、“蜜币贼”变种、“爱丽斯”和“偷盗者”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“霸族”变种运行后,启动“svchost.exe”进程并将恶意代码注入其中运行,隐藏自身,躲避安全软件的查杀。在后台秘密收集被感染计算机的系统信息,并将机密信息发送到骇客指定的服务器站点上。从指定站点下载恶意程序,并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。
与骇客指定的服务器建立网络连接,骇客可通过“霸族”变种cip远程操作用户的计算机,可执行的操作包括:文件操作,进程操作,注册表操作,服务操作,屏幕监控,键盘记录,摄像头抓图,命令操作等,给用户的计算机安全和个人隐私,甚至商业机密造成严重威胁。
◆“蜜币贼”变种运行后,在被感染计算机系统内查找“Webmoney”(一种用于网络购物的虚拟货币)客户端程序,并且释放病毒程序替换掉用户正常的“webmoney.exe”程序,更改“webmoney.exe”文件的创建时间、修改时间等,使用户难以发觉正常的程序已被替换。
修改注册表,实现木马开机自动运行。在被感染计算机后台秘密窃取用户输入的“Webmoney”用户名、密码以及用户资料等机密信息,并将机密信息发送到骇客指定的服务器上,可能会给用户带来极大的经济损失。
◆“爱丽斯”为广告件类病毒,病毒运行之后调用FindFirstUrlCacheEntryA,获取IE缓存地址信息,删除internet临时文件夹的文件,调用API函数GetKeyboardLayoutList获得系统适用的所有键盘布局的一个列表,调用CreateMutex创建一个互斥体,MutexName = "{A56DECD8-1102-49e9-BFD5-17FBE35197F2}"防止病毒多次运行,复制自身并衍生病毒文件lphcrm3j0e37v.exe、phcrm3j0e37v.bmp、pphcrm3j0e37v.exe(随机文件名)文件到%System32%目录下,并添加到注册表桌面项某些键值替换为病毒释放的bmp文件。
将现有的桌面背景替换为病毒释放的bmp文件,设置属性为不可更改,使用户无法替换桌面背景,将病毒lphcrm3j0e37v.exe文件添加到注册表启动项,达到开机自启动目的,获取临时%temp%目录文件夹,释放.ttE.tmp.vbs脚本文件,调用ShellExecuteW将其运行,等待1000ms后再将其删除,获取%System32%目录在此目录下衍生blphcrm3j0e37v.scr屏幕保护程序替换系统现用的屏幕保护程序,调用API连接网络下载恶意程序强制安装antivirus XP 2008软件,病毒运行完毕之后创建BAT批处理文件删除自身。该病毒通过电子邮件传播,
邮件内容为:
New photos and video of Mars. To look only here!
hxxp://dieffe******it/fores/**.php
New photos and video of Mars. To look only here!
hxxp://des*******fr/fores/**.php
◆“偷盗者”为下载者木马类,病毒运行之后调用API函数GetSystemDirectoryA获取系统目录,在%System32%目录下创建病毒文件adfbaa.exe(随机病毒名),调CreateProcessA创建病毒进程,遍历进程查找是否存在以下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用LoadLibraryA函数加载SFC.DLL文件,释放批处理文件到%temp%临时目录下,将%System32%/drivers/目录下的beep.sys文件删除。
并创建一个同名的文件,释放驱动文件恢复SSDT使卡巴主动防御失效,衍生的adfbaa.exe行为分析:释放驱动文件pcxyqr.sys,摘掉钩子使卡巴主动防御完全失效,创建病毒服务,添加注册表映像劫持,遍历进程查找“drvanti.exe”驱动防火墙进程,如找到则调用API函数TerminateProcess强行结束该进程,连接网络读取TXT列表下载大量恶意文件,经分析下载的大量文件均为盗号木马,给用户清理代理及大的不便。
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、安天实验室的病毒库均已更新,并能查杀上述病毒。感谢江民科技和安天实验室为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
