【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意:在明天的病毒中TrojanSpy.Zbot.afc“砸波”变种afc、Trojan/PSW.Magania.cjt“玛格尼亚”变种cjt、“暴力清洗下载器32768”、“死循环恶作剧16384”、Win32/DCKeyg.A、“传奇窃贼”变种gwr和Trojan/Monder.ca“摩登王”变种ca都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆TrojanSpy.Zbot.afc“砸波”变种afc:它是“砸波”木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“砸波”变种afc运行后,在“%SystemRoot%/system32/”目录下创建木马文件“ntos.exe”,并在“%SystemRoot%/system32/wsnpoem/”目录下释放病毒文件“audio.dll”。修改注册表,实现木马开机自动运行。
将病毒代码注入到除“CSRSS.EXE”以外的所有进程中调用运行,隐藏自身,躲避安全软件的查杀。采用Rootkit技术挂钩系统函数,隐藏病毒文件,保护病毒文件不被复制、删除。破坏数款防火墙程序,极大地降低了被感染计算机上的安全性。在后台秘密监视被感染计算机系统的网络通信内容,窃取其中的私密信息并发送给骇客,给用户的计算机安全和个人隐私造成威胁。
另外,“砸波”变种afc还能从骇客指定的服务器站点下载有效的邮件地址列表,利用自带的SMTP引擎群发垃圾邮件。
◆Trojan/PSW.Magania.cjt“玛格尼亚”变种cjt:“玛格尼亚”木马家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“玛格尼亚”变种cjt运行后,在被感染计算机系统“%SystemRoot%/help/”目录下释放木马组件文件“B41346EFA848.dll”。修改注册表,实现木马开机自动运行。
将木马组件插入到所有用户进程中加载运行,隐藏自身,防止被查杀。采用HOOK技术和内存截取技术,在被感染计算机的后台秘密监视用户的键盘和鼠标操作,盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏账号、游戏密码、身上装备背包装备、角色等级、游戏区服、计算机名称等信息,并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上,造成玩家的游戏账号、装备物品、金钱等丢失。
另外,“玛格尼亚”变种cjt还会在被感染计算机上下载更多的恶意软件、网游木马等,给网络游戏玩家带来非常大的损失。但是,“玛格尼亚”变种cjt不会感染简体中文版的Windows操作系统。
◆“暴力清洗下载器32768”:此下载器对系统的破坏性较高,因为它除了执行下载外,还会删除所处目录下所有的exe格式文件。如果该毒进入C盘或D盘并运行起来,就会搜索并删除当前目录下的所有exe文件,同时遍历当前进程,关闭p2pnetworking.exe、p2pnetwork.exe、winlog.exe、csrrs.exe等进程。
随后,它从病毒作者指定的地址下载两个文件dr.exe和install.exe,将它们存放到到当前目录并运行。这两个文件是同个病毒文件的不同副本,如果一个下载失败,就下载另外一个。经毒霸反病毒工程师检查,这是一个流氓软件。
当下载完成,该毒便创建脚本,删除自己的原始文件。
◆“死循环恶作剧16384”:该病毒对系统没有直接的破坏行为,但是它会造成用户的电脑不断的自动重启,让用户无法正常工作。该毒近来感染量有所上升,毒霸反病毒工程师猜测是有人在故意散播。
它进入用户系统后,就立即在当前目录下运行起来。它行为很简单,在获取两个未公开的函数、篡夺系统的操作权限后,就发出ShutdownReboot指令,让系统瞬间重启。在此过程中,用户完全来不及保存正在进行的任务。
而之后,它会不断的重启系统,让用户不能正常开展工作,由于频繁重启,甚至有可能引起电脑的硬件故障。综合它的行为来看,可以判定其为恶作剧程序,但很明显,病毒作者的这个玩笑开得有些过头。
◆Win32/DCKeyg.A :它是一种通过点对点网络传播的蠕虫,病毒把自己伪装成多种程序安装。运行时,Win32/DCKeyg.A 复制到以下位置:%Temp%/Setup+Patch.exe,%Temp%/TEMP01.RAR,%System%/gpedits.exe。DCKeyg.A 生成以下恶意文件:%Temp%/temp_01.exe。病毒危害:Win32/DCKeyg.A显示报错信息框;修改注册表键值。
◆“传奇窃贼”变种gwr:它是“传奇窃贼”木马家族的最新成员之一,采用Delphi编写,并经过添加保护壳处理。“传奇窃贼”变种gwr运行后,自我复制到被感染计算机系统的“C:/WinEye/”目录下,重命名为“WinEye.com”,并在同一目录下释放木马组件“WinEye.dll”。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台秘密监视用户打开的程序,一旦发现网络游戏《破天一剑》的登陆窗口,便通过HOOK技术和内存截取技术监视用户的键盘和鼠标操作,窃取用户输入的账号及密码等信息。
“传奇窃贼”变种gwr还能自动获取玩家角色的身上装备、背包装备、角色等级、游戏区服、计算机名称等信息,并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上,造成玩家的游戏帐号、装备物品、金钱等丢失,给玩家带来不同程度的损失。另外,“传奇窃贼”变种gwr还可能会下载更多的恶意软件、网游木马等,给网络游戏玩家带来非常大的损失。
◆“摩登王”变种ca:它是“摩登王”木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“摩登王”变种ca运行后,在被感染计算机系统“%SystemRoot%/system32/”目录下释放木马组件,文件名由8位随机字母组成。将其注册为浏览器辅助插件(BHO),实现木马开机自动运行。将恶意代码注入到“winlogon.exe”和“explorer.exe”进程中运行,隐藏自我,防止被查杀。
通过提升自身权限、强行篡改注册表键值等方法查找并强行关闭大量流行的安全软件、浏览器辅助安全插件等,并且可能会卸载某些安全软件,极大地降低了被感染计算机系统的安全性。不定时弹出广告窗口,影响用户正常使用计算机。在后台秘密收集被感染计算机的系统信息,发送到骇客指定的服务器上。下载恶意程序并在被感染计算机上自动调用运行。
其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。另外,“摩登王”变种ca最后会自我删除,消除痕迹。等账号密码,全面保护用户私密信息。
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、冠群金辰和金山的病毒库均已更新,并能查杀上述病毒。感谢江民科技、冠群金辰和金山毒霸为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
