【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意:在明天的病毒中“玛格尼亚”变种jgx、“雾毒”变种dlj、“U盘寄生虫doc”和“偷盗者adwl”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“玛格尼亚”变种jgx是“玛格尼亚”木马家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“玛格尼亚”变种jgx运行后,在被感染计算机系统“%SystemRoot%/help/”目录下释放“F3C74E3FA248.dll”DLL木马组件文件。修改注册表,实现木马开机自动运行。将木马组件插入到所有用户进程中加载运行,隐藏自身,防止被查杀。采用HOOK技术和内存截取技术,在被感染计算机的后台监视用户的键盘和鼠标操作,盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息,并在被感染计算机的后台将窃取到的玩家游戏账号信息发送到骇客指定的远程服务器站点上,造成玩家的游戏账号、装备物品、金钱等丢失。另外,“玛格尼亚”变种jgx还会在被感染计算机上下载更多的恶意软件、网游木马等,给网络游戏玩家带来非常大的损失。“玛格尼亚”变种jgx不会感染简体中文版的Windows操作系统。
◆“雾毒”变种dlj是“雾毒”木马家族的最新成员之一,采用高级语言编写,并经过加壳处理,是由某个病毒释放出来的DLL木马组件,一般被注册为浏览器辅助插件(BHO),以便实现木马随系统浏览器的启动而加载运行。“雾毒”变种dlj运行于浏览器进程内,这样可以隐藏病毒程序,躲避安全软件的查杀。强行修改hosts文件,屏蔽大量安全站点,导致被感染计算机上某些安全软件无法连接升级服务器进行升级。不定时弹出广告窗口,严重影响用户正常使用计算机。强行篡改注册表,极大地降低了被感染计算机的安全性。连接骇客指定的服务器站点,下载恶意程序,并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
◆“U盘寄生虫doc” 该病毒属蠕虫类, 判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目录%Windir%/Tasks,将自身复制到该目录下,判断“%Windir%/Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当然进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日,复制自身到%HomeDrive%/spoolsv.exe,%Windir%/Tasks/spoolsv.ext ,%Windir%/Tasks/SysFile.brk,并删除自身文件.感染explorer.exe,先在%Windir%/tasks/释放被感染的explorer.ext 然后再保存到%Windir%/explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件,遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件,遍历固定磁盘和可移动磁盘,在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接网络下载大量病毒文件,经分析下载的大量病毒文件多为盗号木马,使用户的网络虚拟财产遭受损失。
◆“偷盗者adwl” 该病毒为武林外传游戏盗号木马,病毒运行后复制自身到%Windir%目录下,重命名为bincdwsa.exe,添加注册表项,以达到随机启动的目的,并衍生病毒DLL文件到系统目录%system32%下;重命名为bincdwsa.dll;并将病毒文件bincdwsa.dll插入到Explorer.exe系统进程;病毒运行之后删除自身,遍历查找武林外传游戏ElementClient.exe进程,通过截获用户的键盘和鼠标消息获取“武林外传”的账号和密码,并读取该进程目录下的userdata/currentserver.ini文件,获取用户所在游戏服务器的相关信息,通过URL发送到木马种植者指定的接收网址,造成用户的虚拟财产丢失。
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、安天的病毒库均已更新,并能查杀上述病毒。感谢江民科技和安天为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
【相关文章】
上一篇: 26-28日病毒预报:周末需防范木马病毒新变种
下一篇:下面没有链接了
