【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意:在明天的病毒中“U盘寄生虫”变种bah、“摩登王”变种z、“多功能鸽子47200”、“网游帐号记录器65536”、“百变木马变种aocg”、“下载者xii”和“Win32/DlVapidab.I”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“U盘寄生虫”变种bah是“U盘寄生虫”蠕虫家族的最新成员之一,采用VB编写。“U盘寄生虫”变种bah运行后,自我复制到被感染计算机系统的“%SystemRoot%/system32/”目录下,并重命名为“svch0st.exe”。修改注册表,实现蠕虫开机自动运行。强行篡改注册表,致使被感染计算机系统无法显示隐藏文件。在被感染计算机硬盘的各盘符根目录下以及移动存储设备根目录下创建“autorun.inf”文件和蠕虫主程序文件(文件属性为“系统、隐藏”),达到双击盘符启动“U盘寄生虫”变种bah病毒程序运行的目的,从而利用U盘、移动硬盘等进行自我传播。另外,“U盘寄生虫”变种bah还会强行篡改*.txt的文件关联,致使用户一双击*.txt文件时会启动“U盘寄生虫”变种bah运行。
◆“摩登王”变种z是“摩登王”木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理,由其它病毒体释放出来的的DLL病毒组件,一般被注册为BHO,随IE浏览器启动而加载运行。“摩登王”变种z运行后,将病毒代码注入到“explorer.exe”中加载运行,隐藏自我,躲避安全软件的查杀。不定时弹出广告窗口,严重影响用户的正常操作。在后台秘密收集被感染计算机的系统信息并发送到骇客指定的服务器上。下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给用户带来不同程度的损失。
◆“多功能鸽子47200”这个病毒文件是一个类似灰鸽子那样的黑客木马。它的相关变种近日突然增多,毒霸反病毒工程师认为这是病毒制作集团使用病毒生成器疯狂生产的结果。此木马和它的变种们的主要目的是记录用户系统的一些关键数据,并把他们发送到病毒作者指定的地址。如果黑客掌握了这些数据,将可能对用户系统的安全构成威胁。
病毒将自己的文件释放到系统盘中,有%WINDOWS%/uninstall/rundl132.exe和Logo1_.exe,系统盘根目录下的sample.exe.exe,以及%WINDOWS%/TEMP/目录中的$$a0199.tmp和$$a0199.bat。然后就在系统中建立配置文件,实现自启动。
如果实现了运行,它就悄悄连接病毒作者指定的地址,上传用户电脑的一些系统信息。并下载更新文件,达到自动更新之目的。另外,毒霸反病毒工程师们发现,该毒可以根据病毒作者的指令,变成下载器,下载更多的木马到用户电脑中运行。运行完毕,就删除自己的原始文件和释放出的文件,让用户即便明白中毒也难以查找元凶。
毒霸反病毒工程师预计,这类多功能型的黑客木马仍将是最近一段时间内的木马群主要类型,请没有安装毒霸的用户注意防范。如果已安装毒霸,则不必担心。
◆“网游帐号记录器65536” 此木马及其家族成员近来出现很多变种,值得注意。病毒在系统盘的%WINDOWS%/SYSTEM32/文件夹中释放出文件d9dx.dll和mpwdeapi.dll,然后就修改注册表,将自己配置为开机自启动。
当电脑重新启动,病毒就运行起来。它会枚举进程,然后展开监视,秘密记录下用户输入的类似网游帐号和密码的数据。并在后台悄悄连接病毒作者指定的远程地址,将记录到的数据发送出去,让玩家遭受虚拟财产的损失。
该毒还具有自动更新功能,在上传赃物的同时,它也会下载更新文件,以接收最新的恶意指令。
◆“百变木马变种aocg” 该病毒下载者木马类,病毒运行后调用API获取系统文件夹路径,在%System32%目录下创建病毒文件ajfcaa.exe(6位随机病毒名),并加载创建该病毒进程,遍历进程查找是否存在一下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%/drivers/目录下的beep.sys文件删除,并创建一个同名的文件,创建dat文件到临时目录,创建注册表病毒服务,等待加载完毕后将dat文件删除,添加注册表映像劫持,劫持多款安全软件,使系统安全性降低,利用ZwQuerySystemInformation()枚举内核模块,遍历进程查找:DrvAnti.exe(驱动防火墙)、csrss.exe(系统进程),如找到则强行结以上2个进程,病毒运行后自我删除,连接网络读取列表下载大量恶意文件到本地运行,经分析下载的文件多为盗号木马,给用户清理带来极大的不便。
◆“下载者xii” 该病毒为下载者木马类,病毒运行后调用CreateMutexA函数创建互病毒斥量:_DNT_DOWNLOAD_MUTEX_,目的防止多次运行,在%Windir%目录下创建文件夹:DNT_Temp,作为病毒下载的临时存放目录,调用URLDownloadToFileA函数连接网络将列表下载到本地保存为:list.dnt,读取该文件里的列表内容执行下载病毒操作,当病毒下载完毕后将list.dnt删除,经分析下载的大量病毒为盗号木马类,给用户清理造成极大的不便。
◆Win32/DlVapidab.I是一种能够下载并运行任意文件的特洛伊病毒。运行时,Win32/DlVapidab.I尝试从liveupdatesnet.com域下载并运行任意文件。病毒将文件保存到%System%/0.<7 random digits>。
建议:
不要随意运行EXE文件;
系统设置强壮的管理员口令。
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
