【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意:在明天的病毒中“系统杀手”变种as ,“克莱客”变种fa,“上兴木马变种1105920”,“传奇私服下载器106496”,“木马下载者”,“偷盗者”和Win32/Treemz.BD 都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆Trojan/AntiAV.as“系统杀手”变种as:它是“系统杀手”木马家族的最新成员之一,采用VC++编写。“系统杀手”变种as运行后,在被感染计算机系统的“%SystemRoot%/”目录下和“%SystemRoot%/system32/”目录下创建数个病毒副本,文件名随机生成。
通过修改注册表和注册为系统服务两种方式实现木马开机自动运行。提升自身权限,强行关闭某些安全软件,大大地降低了被感染计算机的安全性。强行篡改注册表内容,禁止用户运行安全模式。循环监测窗口标题,一旦发现用户打开任务管理器便将其关闭。在后台连接骇客指定的服务器站点,下载恶意程序并自动调用运行,给用户带来一定程度的危害。
与骇客指定的服务器建立网络连接,骇客可通过“系统杀手”变种as远程控制被感染的计算机,给用户的计算机安全和个人隐私,甚至商业机密造成严重威胁。查找并感染大量.exe文件,导致.exe文件无法正常运行,可能会给用户带来极大的损失。另外,“系统杀手”变种as还会将自身的图标伪装成网页图标,并且修改自身描述为“在线修复Anti Virus”,诱骗用户点击运行,请广大用户注意识别。
◆Worm/Kolabc.fa“克莱客”变种fa:它是“克莱客”蠕虫家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“克莱客”变种fa运行后,自我复制到被感染计算机系统的“%SystemRoot%/system32/”目录下,文件名由随机八位小写字母组成。自我添加为系统服务,实现蠕虫开机自动运行。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息,并提交到骇客指定的服务器上。
“克莱客”变种fa自带一个弱口令扫描词典,对局域网内安全意识较差的用户计算机进行弱口令猜测,成功连接后自我复制过去并自动执行,实现蠕虫在局域网内的传播,并且很可能会造成网络阻塞。
“克莱客”变种fa会与骇客指定的服务器站点建立网络连接,骇客可通过“克莱客”变种fa远程控制被感染的计算机,可执行的恶意操作包括:文件操作,进程操作,注册表操作,服务操作,屏幕监控,键盘记录,摄像头抓图,命令操作等,给用户的计算机安全和个人隐私,甚至商业机密造成严重威胁。另外,“克莱客”变种fa还具有自我删除的功能,以便消除痕迹。
◆“上兴木马变种1105920”:该毒的母体进入用户系统后,在%Program Files%/Common Files/Microsoft Shared/MSInfo/目录和%WINDOWS%/systemr/目录下释放出病毒文件mstcs.exe,其中%WINDOWS%/systemr/目录下的mstcs.exe前面多了条下划线,成了_mstcs.exe 。
作为病毒的主文件,mstcs.exe会被写入注册表启动项,使病毒实现开机自启动。如果顺利起来,它就注入IEXPLORER.EXE和calc.exe,实现进程守护,当其中一个进程被终止时,另一个进程立刻重新启动被终止的进程,防止自身被删除。
它收集系统信息,发送到病毒作者指定的网站,黑客收到这些信息后,就能对用户系统进行各种想要的操作,比如文件上传下载、屏幕监控、视频(摄像头)监控、音频监控、键盘记录,系统监控,操纵中毒机器进行网络攻击等。
◆“传奇私服下载器106496”:这个木马经过加壳处理,试图对抗杀毒软件的查杀,但对于毒霸来说无效。该毒看上去就是个私服插件,它运行后就连接到某个《传奇》的私服网站,从这个地址获取参数和命令行,登录"Mir182"这个私服,每隔一段时间,就会刷屏骂人,同时自动整理身上的装备,外挂练级。
但是,病毒作者给它设置了一个下载功能:如果它从一网站收到指令"DOWNLOAD:"的话,就会从获取的地址下载其他病毒到系统目录下执行。
◆“木马下载者”:该病毒运行后创建互斥量防止病毒多次运行,休眠5000ms后调用API函数连接网络下载病毒文件并保存到%HomeDrive%下重命名为:eee.exe,休眠15000ms后获取文件属性,在%HomeDrive%下创建eee.bat批处理文件,使用WinExec函数调用eee.bat文件用于启动下载后的病毒文件eee.exe,eee.exe运行之后复制自身到%System32%目录下重命名为winssco.exe,修改注册表并创建病毒服务,释放time.bat批处理文件到%Windir%目录下,同步系统时间并修改W32time服务设置。
“偷盗者”:该病毒下载者木马类,病毒运行之后调用API函数GetSystemDirectoryA获取系统目录,在%System32%目录下创建病毒文件adfbaa.exe(随机病毒名),调用CreateProcessA创建病毒进程,遍历进程查找是否存在以下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe。
如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用LoadLibraryA函数加载SFC.DLL文件,释放批处理文件到%temp%临时目录下,将%System32%/drivers/目录下的beep.sys文件删除,并创建一个同名的文件,释放驱动文件恢复SSDT使卡巴主动防御失效,衍生的adfbaa.exe行为分析:释放驱动文件pcxyqr.sys,摘掉钩子使卡巴主动防御完全失效,创建病毒服务,添加注册表映像劫持,遍历进程查找“drvanti.exe”驱动防火墙进程,如找到则调用API函数TerminateProcess强行结束该进程,连接网络读取TXT列表下载大量恶意文件,经分析下载的大量文件均为盗号木马,给用户清理代理极大的不便。
◆Win32.Treemz.BD:Win32/Treemz.BD是一种盗窃网络游戏敏感信息的特洛伊病毒。运行时,Win32/Treemz.BD将正常的系统文件%System%/ws2_32.dll复制到%Temp%ntfast_32.dll。
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、冠群金辰和安天实验室的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天实验室为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
