【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意:在明天的病毒中“偷取者spbg”、“灰鸽子”、“梦幻西游盗号器126976”、“Media Player伪装木马1560576”、Win32/Auraax.A都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“偷取者spbg”(Trojan-GameThief.Win32.OnLineGames.spbg)该病毒为盗取网络游戏武林外传账号信息木马。病毒运行后删除自身,衍生病毒文件到%System32%下,并把文件属性设置为隐藏。查找Verclsid.exe找到后调用DeleteFile函数进行删除。遍历进程搜索“AVP.exe”,如找到则释放winsYs.reg文件,用来添加病毒HOOK启动项,如找不到“AVP.exe”进程,调用GetSystemDirectoryA 查找Windows所在的目录。找到%System32%目录释放病毒文件tf0等待添加病毒HOOK项完毕后将tf0文件删除,调用LoadLibraryA将病毒DLL加载到进程,试图将病毒DLL文件注入到除smss.exe、csrss.exe、winlogon.exe以外所有进程。
◆“灰鸽子”(Backdoor.Win32.Hupigon.dlsi)该病毒为远程控制后门类,病毒运行之后创建互斥量,防止病毒多次运行,拷贝病毒自身并衍生DLL文件到%Windir%目录下重命名为:Utility.exe、Mangerr.DLL,创建病毒服务,添加病毒启动项,调用ChangeServiceConfig2函数改变文件病毒文件描述,释放BAT文件到%Windir%目录下等待病毒执行完毕后用于删除病毒自身,开启iexplore.exe进程进行通信,连接希网域名等待接收病毒作者发送的控制指令,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。
◆“梦幻西游盗号器126976”(Win32.Troj.Agent.126976)这个盗号木马的目标的是《梦幻西游》的帐号,病毒作者给它配置了对付“主动防御”的能力。它会利用自己的驱动文件恢复系统的SSDT表,使得一些声称自己拥有“主动防御”功能的杀毒软件失去“主动防御”功能。从而令系统的防御效果大大降低。病毒母体进入系统后,在%WINDOWS%/system32/目录中释放出子文件HBInject.exe、HBmhly.dll,在%WINDOWS%/system32/drivers/下释放出自己的驱动HBKernel.sys。在降低用户电脑安全性的同时,该盗号木马会将自己的exe文件写入注册表启动项,实现开机自启动。它搜索《梦幻西游》的进程,将其关闭,迫使用户重新登录。然后利用DLL文件注入其进程,记录下用户输入的帐号与密码,并发送到病毒作者指定的地址http://www.6***q1.cn,给用户造成虚拟财产的损失。
◆“Media Player伪装木马1560576”(Win32.Troj.Inject.ux.1560576) 这个木马除帮助黑客控制用户电脑外,没有直接的破坏行为。病毒作者给它采用了Windows Media Player音频文件的图标,试图以此来骗过用户注意,但如果是安装了毒霸的电脑,这招就完全无效,它一进入系统,就会被查杀。它将自己的文件病毒systems.exe释放到%Program Files%/Common Files/Microsoft Shared/MSINFO/目录中,并将其写入注册表服务项,实现开机自启动。服务名称为Windows User Mode Driver Frameweik。运行起来后,它就注入IE浏览器的进程,隐蔽运行,连接病毒作者指定的远程黑客服务器222.2*2.2*4.113,等待黑客指令。借助它的帮助,黑客可任意控制用户电脑。
◆Win32/Auraax.A是一种蠕虫,通过移动驱动器进行传播。运行时,Win32/Auraax.A 在%Temp%目录中生成"LOAD1.EXE"文件。随后在%Program Files%目录中生成"Microsoft Common"目录,并在这个目录中生成并运行"WUAUCLT.EXE"文件。中毒后改变防火墙设置;
下载并运行任意文件。
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,金山、冠群金辰和安天实验室的病毒库均已更新,并能查杀上述病毒。感谢金山毒霸、冠群金辰和安天实验室为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
