【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意:在明天的病毒中“QQ大盗”变种dek、“紫萝卜”变种kyy、“脚本下载器2927”、“广告下载器184320”、“盗窃者变种aadx”和“木马下载者mtz”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“QQ大盗”变种dek是“QQ大盗”木马家族的最新成员之一,采用VC++编写,由其它木马释放出来的DLL木马组件,一般被注册为浏览器辅助对象(BHO),实现木马随系统浏览器的启动而自动加载运行。“QQ大盗”变种dek运行后,将病毒代码注入到所有用户的进程中运行,以此来隐藏自我,躲避安全软件的查杀。修改hosts文件,屏蔽某些安全站点,阻止用户对某些常见安全站点的访问。查找并强行关闭某些安全软件,大大地降低了被感染计算机上的安全性。在后台秘密监视用户打开的窗口标题,一旦发现用户打开QQ登陆窗口便记录键击,窃取用户的QQ用户名和密码,并发送到骇客指定的远程服务器上,给用户带来一定程度的损失。另外,“QQ大盗”变种dek还会下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。
◆“紫萝卜”变种kyy是“紫萝卜”木马下载器家族的最新成员之一,采用VC++编写。“紫萝卜”变种kyy运行后,收集被感染计算机上的信息,并以表单的形式提交到骇客指定站点。在被感染计算机后台连接多个骇客指定的站点,下载大量恶意程序在被感染计算机上自动调用运行,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。其中,所下载的恶意程序保存到临时文件夹下,可能的名字有“lowpower.exe”、“lprn32.exe”、“bindsrv2.exe”等。另外,“紫萝卜”变种kyy还可能强行篡改IE浏览器设置,大大降低被感染计算机的安全性。
◆“脚本下载器2927” 病毒进入用户电脑,在%WINDOWS%/SYSTEM32/目录下释放出病毒文件sysrunchesever1.exe和syskaka1.dll,以及系统盘根目录下的tempsysche.exe。其中,sysrunchesever1.exe是病毒主文件,病毒会将它写入注册表启动项,让自己能够实现开机自启动。
一旦用户重启电脑,病毒就能够运行起来。它会注入到系统桌面进程中,在后台悄悄连接病毒作者指定的远程地址,发送用户系统的信息,如IP、操作系统版本等,然后,就等待病毒作者(黑客)连接。在等待的期间,它也会下载一些病毒文件。
此外,此病毒具有防止重复运行的功能。每当它进入一台电脑,都会创建了一个互斥体 FirstName ,防止自己的其它副本到这台电脑中重复运行。
◆“广告下载器184320” 这个广告木马近来出现较多变种,已安装毒霸的电脑用户可不必担心,对于没有安装毒霸的用户,则需要注意。
此毒进入电脑后,在系统盘的%WINDOWS%/TEMP/临时目录下释放出自己的文件soa0999.tmp,还有一个文件jkhxaklo.dll则被释放到%WINDOWS%/SYSTEM32/目录下。
病毒修改注册表,把jkhxaklo.dll添加到启动项,实现开机自启动。由此,可知道此文件是病毒的主程序。习惯手动查杀的用户,可利用金山清理专家中的粉碎机将此文件彻底粉碎。
一旦的到成功运行,病毒就会连接到http://51***9.cn这个由病毒作者指定的地址,下载一份病毒列表,然后根据其中的地址去下载更多别的病毒。需要注意的是,病毒会将这份病毒列表伪装成一个名为way.jpg的图片文件,藏在%WINDOWS%/Cursors/目录中。
此毒的部分变种,在下载病毒的同时,还会根据病毒作者设置的升级功能,获取一些广告网站的地址,随机弹出,诱导用户点击,让人感到心烦。
◆“盗窃者变种aadx” 该病毒为跑跑卡丁车游戏盗号木马类,病毒运行后调用API获取系统文件夹路径,复制自身到%Windir%目录下,重命名为tciocp32.exe,并衍生病毒文件到系统目录%system32%下;重命名为tciocp32.dll;病毒运行后自我删除,将病毒文件tciocp32.dll插入到Explorer.exe系统进程;添加注册表项,以达到随机启动的目的;遍历查找跑跑卡丁车游戏窗口(ZElementClient Window),如找到则把tciocp32.dll注入到其进程中,并读取该进程目录下的 userdata/currentserver.ini 文件,获取用户所在游戏服务器的相关信息,通过URL发送到木马种植者指定的接收网址。
◆“木马下载者mtz” 该病毒为下载者木马,病毒运行后,衍生病毒文件到系统目录%Windir%下;重命名为ctfmon.exe、Update.dat;使用API函数InternetCheckConnectionA检测网络连通状况,若通则创建病毒进程,访问恶意网站读取文本列表下载病毒程序并运行;病毒运行之后通过批处理将病毒原文件删除。下载的病毒文件大量为盗号木马,由于病毒种类繁多,给用户清理病毒带来极大的不便。
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、安天的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸和安天为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
上一篇: 12-14日病毒预报:木马家族添新丁 当心灰鸽子变种
下一篇:15日病毒预报:小心“伪颗粒” 谨防“植木马器”变种
