【itFensi.com 综合消息】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意“琼度btu” 、“MSN”、“AUTO蠕虫下载器136704”和“Win32.Nozsama.A” 在明天的病毒中,都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“琼度btu” 威胁级别:★★★★
该病毒后门类,病毒运行后获取系统文件夹路径%System32%/drivers/beep.sys,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%/drivers/目录下的beep.sys文件删除,并创建一个同名的文件,以系统原服务加载病毒释放的驱动文件,达到不对注册表操作的目的,即可躲避多款杀软的主动防御,释放驱动文件恢复SSDT使卡巴主动防御失效,等待加载完驱动后将beep.sys驱动文件删除,释放临时文件1923531_res.tmp到%temp%目录下,将文件创建时间修改成2004年然后将文件拷贝到%System32%目录下并重命名为:BITSEx.dll,执行完毕后将临时文件1923531_res.tmp删除,修改添加注册表病毒项,将病毒BITSEx.dll文件注入到svhost.exe进程中,等待病毒执行完以上操作将以命令行方式删除病毒自身,等待接受病毒作者发送的控制指令,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。
◆“MSN”(Trojan/Win32.OnLineGames.snxy) 威胁级别:★★★
该病毒为盗取网络游戏《梦幻西游》帐号信息木马。病毒运行后删除自身,同时释放病毒文件到%System32%下,设置文件属性为隐藏。修改注册表,注册CLSID值,添加HOOK项。调用LoadLibrary 函数,加载病毒dll,把病毒文件mttwfh.dll注入到explorer.exe中,进行全程挂钩,挂钩类型为WH_GETMESSAGE监控发送到消息队列的消息。同时监控鼠标键盘击键。把截获当前用户的游戏的账号及密码信息,发送到病毒作者指定的URL。该病毒运行后结束自身进程。
◆“AUTO蠕虫下载器136704” 威胁级别:★★★★
该病毒进入系统后就释放出自己的多个文件,路径分别为%Program Files%/Common Files/Microsoft Shared/nuwqpgi.exe、%Program Files%/Common Files/System/bmjtyxh.exe、%Program Files%/meex.Exe。然后搜索系统中是否有卡巴斯基的进程avp.exe,如有,则修改系统时间为2005年11月15日,导致一来系统时间进行激活和升级的卡巴失效,同时,它如果发现其它主流杀毒软件的进程,也会将它们劫持,令它们都瘫痪。同时监视IE浏览器,只要发现用户登录和系统安全、反病毒相关的网页,就会强行关闭页面。完成以上步骤后,病毒就读取自己文件中携带的远程地址,在后台悄悄连接,下载多份病毒列表,根据其中的地址去下载更多其它病毒木马,引起无法估计的更大破坏和麻烦。
◆“Win32.Nozsama.A” 威胁级别:★★
该病毒是一种盗窃密码的特洛伊病毒。当用户登陆不同的网上银行和购物网站时,特洛伊就会盗窃敏感信息。
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,金山、安天实验室、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢金山、冠群金辰和安天实验室为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
