【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意:在明天的病毒中“灵木马”变种t、“袜子虫”变种d、“代理下载者rqj”和“百变木马变种aocg”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“灵木马”变种t是“灵木马”木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“灵木马”变种t运行后,自我复制到被感染计算机的“%SystemRoot%/system32/”目录下,重命名为“110.exe”,并在相同目录下释放病毒组件“Soul.dll”。自我注册为系统服务,实现木马开机自动运行。将恶意代码注入到系统进程中加载运行,隐藏自我,躲避某些杀毒软件的查杀以及防火墙的拦截。秘密连接骇客指定站点,骇客可通过“灵木马”变种t远程完全控制被感染的计算机,进行的恶意操作包括:文件操作、进程操作、注册表操作、服务操作、屏幕监控,键盘记录、命令操作等,给用户的个人隐私,甚至商业机密造成严重威胁。
◆“袜子虫”变种d是“袜子虫”蠕虫家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“袜子虫”变种d运行后,在被感染计算机系统的“%SystemRoot%/system32/drivers/”目录下释放一个恶意的驱动程序文件“qandr.sys”。将“qandr.sys”注册为系统服务,实现蠕虫开机自动运行。利用Rootkit技术,采用“SSDT HOOK”技术挂接了系统中的“NtEnumerateKey”和“NtOpenKey”API函数,采用“FSD inline HOOK”技术挂接了系统文件过滤驱动中的“IRP_MJ_DIRECTORY_CONTROL”请求,隐藏自我,防止被查杀。一旦用户计算机感染该病毒则很难清除干净。“袜子虫”变种d可能是一个驱动级的后门程序,会给被感染计算机用户带来潜在的危险,同时会带去不同程度的损失。另外,“袜子虫”变种d会在系统临时文件夹下创建一个批处理程序文件,当恶意驱动程序文件“qandr.sys”安装完毕后调用这个批处理程序实现自我删除。
◆“代理下载者rqj”该病毒为下载者木马类,病毒运行后调用API函数CreateMutexA创建互斥量,在%Windir%目录下创建Down_Temp文件夹,并在该文件夹下创建一个list.jpg文件,该文件为病毒下载列表,调用URLDownloadToFileA函数读取列表访问网络下载病毒文件,下载完毕后删除list.jpg文件,下载的病毒文件多数为盗号木马类,给用户清理造成很大的不便。
◆“百变木马变种aocg”该病毒下载者木马类,病毒运行后调用API获取系统文件夹路径,在%System32%目录下创建病毒文件ajfcaa.exe(6位随机病毒名),并加载创建该病毒进程,遍历进程查找是否存在一下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%/drivers/目录下的beep.sys文件删除,并创建一个同名的文件,创建dat文件到临时目录,创建注册表病毒服务,等待加载完毕后将dat文件删除,添加注册表映像劫持,劫持多款安全软件,使系统安全性降低,利用ZwQuerySystemInformation()枚举内核模块,遍历进程查找:DrvAnti.exe(驱动防火墙)、csrss.exe(系统进程),如找到则强行结以上2个进程,病毒运行后自我删除,连接网络读取列表下载大量恶意文件到本地运行,经分析下载的文件多为盗号木马,给用户清理带来极大的不便!
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、安天的病毒库均已更新,并能查杀上述病毒。感谢江民科技和安天为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
