【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意:在明天的病毒中“金盾”变种nz、“TrojanDownloader.Delf”变种iiu、“网游盗号木马165969”、“间谍感染虫151552” 、“广告虫”、“Dcom机器人”和“Win32.SillyDl.DOQ”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“爱虫”变种cb是“爱虫”网络蠕虫家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“爱虫”变种cb运行后,自我复制到被感染计算机系统的“%SystemRoot%/”目录下,重命名为“xwrm.exe”,并将文件属性设置为“隐藏”。修改注册表,实现网络蠕虫开机自动运行。在“%SystemRoot%/system32/”目录下释放病毒文件“WindowsUpdt.exe”并自动运行。在被感染计算机的后台秘密搜索计算机中的*.htm、*.PHP、*.CGI等文件,搜索有效的邮箱地址,利用自带的SMTP引擎群发带毒邮件。连接骇客指定的服务器站点,侦听骇客指令,骇客可远程控制被感染的计算机,进行恶意操作,这些命令可能是任意文件操作、注册表操作、键盘记录、下载执行远程程序、任意网络操作等,导致被感染的计算机成为僵尸电脑,给用户带来一定程度的损失。
◆“窃贼Ld”变种lbl是“窃贼Ld”木马家族的最新成员之一,采用VC++编写,并经过添加保护壳处理。“窃贼Ld”变种lbl运行后,自我复制到被感染计算机系统的“%SystemRoot%/system32/”目录下,重命名为“CellWill.exe”。自我注册为系统服务,实现木马开机自动运行。记录键击,盗取用户计算机系统信息,并将盗取到的信息发送到骇客指定的服务器站点上,很有可能会造成用户输入的用户名、密码等机密信息泄露,给用户带来一定程度的损失。在被感染计算机系统的后台连接骇客指定服务器站点,下载恶意程序,保存在系统盘根目录下,并在被感染计算机上自动运行。其中,所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。另外,“窃贼Ld”变种lbl最后会自我删除,消除痕迹。
◆“全屏广告下载器90112” 该毒最明显的症状是令IE浏览器全屏弹出广告网页,严重干扰用户的正常工作。同时,它所下载的木马文件,可能会带来无法估计的破坏。
病毒进入电脑后,就把自己的文件smss.exe和eps.vbs释放到%WINDOWS%/Tasks/目录下,并将自己加入注册表启动项实现开机自启动。同时,它会破坏系统中的HOST数据,解除系统的网络封锁,以便自己能够自由连接指定的远程服务器。
病毒连接指定的地址http://a***an.3**2.org ,接收病毒作者安排好的指令,根据指令中的地址弹出广告网页。由于是全屏显示,会严重影响用户的正常使用。并且,病毒还会下载一些其它木马文件。根据病毒作者安排的不同,这些文件会随时变化。毒霸反病毒工程师猜测,它们可能会是远程控制木马和盗号木马。
◆“华夏Ⅱ盗号器110627” 这个盗号木马的目标是网络游戏《华夏Ⅱonline》,它进入电脑、释放完文件后,就会修改注册表启动项,把自己的数据写入其中,实现开机自启动。
如果可以成功运行起来,病毒就能注入系统桌面进程,实现隐蔽运行。并进一步搜寻和注入《华夏Ⅱonline》的进程。读取用户输入的帐号和密码信息,并以网页提交的方式发送到病毒作者指定的地址http://www.*****99.cn/fuckmanhx/post.asp,令用户遭受虚拟财产的损失。
顺便一提,该毒释放出的文件只有一个hhrdxd.dll,它会被隐藏在%WINDOWS%/system32/下。
◆“AV终结者ww” 该病毒下载者木马类,病毒运行后调用API获取系统文件夹路径,在%System32%目录下创建病毒文件adfbaa.exe(随机病毒名),并加载创建该病毒进程,遍历进程查找是否存在以下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%/drivers/目录下的beep.sys文件删除,并创建一个同名的文件,释放驱动文件恢复SSDT使卡巴主动防御失效,衍生的adfbaa.exe判断进程是否存在AVP.exe如存在则设置系统时间为1900年,添加注册表映像劫持,劫持多款安全软件,使系统安全性降低,连接网络读取列表下载大量恶意文件到本地运行,经分析下载的文件多为盗号木马,给用户清理带来极大的不便!
◆“木马下载者gzt” 该病毒为木马类。病毒运行后复制多个自身到系统目录下和All Users用户下的启动文件夹下;并释放autorun.inf文件和本体到磁盘根目录下,以达到打开磁盘运行病毒和感染可移动传输介质,并将autorun.inf文件内容备份到h.bmp中;并将病毒主文件设置为隐藏属性;修改注册表添加启动项,将启动项键值指向系统目录下的病毒文件,修改隐藏文件显示属性,使得用户无法发现病毒文件,映像劫持多种防病毒软件,使得防病毒软件失效。该病毒会连接指定地址下载大量病毒,病毒下载后自动运行,其中以盗号木马居多。给病毒的清理带来了一定的困难。
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、安天的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸和安天为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
上一篇: 23日病毒预报:小心盗号木马进行作案
下一篇:下面没有链接了
