【itFensi.com 独家报道】IT粉丝网(ITFENSI.COM)安全频道今日提醒您注意:在明天的病毒中“网银窃贼”变种、“DNS变色龙”变种、“剑侠盗号木马102400”、“万能饵料盗号者”、“Win32.SillyDl.DOW”和“磁碟机变种”、“大话木马”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“杜其斯yko”威胁级别:★★★★
该病毒为刷流量病毒,病毒运行后加载动态连接库文件urlmon.dll,获取%Temp%临时文件夹目录,利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码保存到临时文件夹下,获取MZP头以命令行方式将病毒打包成自解压文件并设置密码为:“logved*log;7^5#;tvn”,以达到杀毒软件无法解压文件而不能查杀该病毒文件的目的,在DOS下使用命令行解压文件install.exe,并以命令行方式启动该文件,在%system32%/oobe/目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象,并创建一个名为5046(4位随机数字)文件夹,释放一个病毒文件svchost.exe到该目录下,创建该病毒进程,该文件用来定时隐藏打开大量的网页地址,添加注册表启动项,穿过windows自带防火墙,执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除,最后创建$$30689.bat批处理文件删除病毒原文件。
◆“Win32.Karwnlam.E” 威胁级别:★★★
Win32/Karwnlam.E是一种特洛伊病毒,能够从被感染机器上收集、盗窃系统信息,并将它发送到远程服务器上。病毒还具有rootkit功能,能够掩饰病毒的存在。运行时,Win32/Karwnlam.E 复制到%System%lanmanwrk.exe,并设置以下注册表,允许病毒在系统启动时自动运行:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/lanmanwrk.exe clean = "%System%/lanmanwrk.exe clean"
◆“偷取者adwl”(Trojan-PSW.Win32.OnLineGames.adwl) 威胁级别:★★★
该病毒为武林外传游戏盗号木马,病毒运行后复制自身到%Windir%目录下,重命名为bincdwsa.exe,添加注册表项,以达到随机启动的目的,并衍生病毒DLL文件到系统目录%system32%下;重命名为bincdwsa.dll;并将病毒文件bincdwsa.dll插入到Explorer.exe系统进程;病毒运行之后删除自身,遍历查找武林外传游戏ElementClient.exe进程,通过截获用户的键盘和鼠标消息获取“武林外传”的账号和密码,并读取该进程目录下的userdata/currentserver.ini文件,获取用户所在游戏服务器的相关信息,通过URL发送到木马种植者指定的接收网址,造成用户的虚拟财产丢失。
◆“网银窃贼”变种hzz运行后,在“%SystemRoot%/system32/”目录下释放病毒文件“IEBHO.dll”。修改注册表,将其注册为浏览器辅助工具(BHO),实现木马开机自动运行。在被感染计算机的后台秘密监视用户打开的窗口,一旦发现用户访问某些在线银行网站,秘密记录用户键盘和鼠标操作,窃取用户网上银行的账户、密码等机密信息,并将账户信息发送给骇客,给某些网上银行用户带来不同程度的损失。
◆“DNS变色龙”变种ftx运行后,自我复制到Windows目录下,并删除病毒原始文件。修改注册表,实现木马开机自动运行。强行篡改DNS设置,降低被感染计算机上的安全设置,可能导致被感染计算机无法正常连接网络等。另外,“DNS变色龙”变种ftx还可以从指定站点下载其它恶意程序并在被感染计算机上自动运行,大大降低了被感染计算机上的安全性。
◆“剑侠盗号木马102400”:如果在玩游戏时遇到突然掉线或程序关闭的情况,建议不要马上重新登录,你所遭遇的不一定是网络故障,而有可能是盗号木马的入侵。在毒霸反病毒工程师长久以来分析过的盗号木马中,有一类木马是通过强行中止游戏的方式来盗号的,近日,这类木马再次出现。
此次分析的这个木马,它会以网页挂马、文件捆绑等方式进入用户电脑系统,在系统盘下释放出两个病毒文件,即%WINDOWS%/目录下的mppds.exe与%WINDOWS%/system32/目录下的mppds.dll。其中mppds.exe是病毒主文件,它会被写入注册表启动项,实现开机自动运行。而mppds.dll则负责盗号工作。
如果顺利运行起来,病毒就把mppds.dll注入桌面进程explorer.exe中,然后悄悄建立远程线程,激活病毒代码,开始遍历进程。如果查找网络游戏《剑侠情缘2》的文件“so2game.exe”,病毒便会将其关闭。当玩家重启游戏后,病毒在游戏内存空间中搜索玩家通过游戏登陆窗口输入的数据,以此获取帐号和密码等信息,并以网络收信空间的方式发送给病毒作者。
◆“万能饵料盗号者”这是一个可以危害多款网游的盗号木马。它的作案原理与大多数其它盗号木马一样,都是靠注入游戏进程来作案,但由于它所注入的进程在多款游戏中都有,因此覆盖面较大。病毒在进入电脑后,在系统盘%windows%目录下释放病毒文件SHAProc.exe,同时在%windows%/system32/目录下释放出SHAProc.dat。然后,病毒把自己的相关数据写入系统注册表,实现自动启动。在这个过程中,它会创建线程监视是否有杀毒软件卡巴斯基的警告框弹出,如果有则关闭。
运行起来后,病毒创建单独的线程,监视用户系统,查找并注入Game.dll模块,读取帐号和密码数据。由于多款网游都具有Game.dll文件,受到影响的网游会比较多。根据毒霸反病毒工程师的统计,目前含有Game.dll的各款网游中,《魔兽争霸》的玩家较多,因此,该款游戏的的玩家需要特别留意。
此外,除盗取网游帐号外,该病毒也会监视QQ聊天工具的进程,伺机盗取帐号密码。不过如果已经安装了毒霸,就不必担心了。
◆Win32.SillyDl.DOW是一种下载的特洛伊病毒。可能是用户访问恶意网页时,通过Internet Explorer浏览器安装的,其它的特洛伊下载器或程序,或者是用户选择安装的软件包。该变种下载其它的特洛伊病毒,或者没有病毒的程序例如广告软件。同时,它会尝试下载更新。这种病毒通常利用HTTP下载。
建议不要随意运行EXE文件;系统设置强壮的管理员口令。
◆“磁碟机变种”在机器狗刚刚销声匿迹后,磁碟机以其强大的反查杀能力迅速的成为了现在病毒界关注的焦点。磁碟机以驱动级模块来反查杀,清除杀毒软件的SSDT功能,使杀毒软件监控等功能失效,仅仅从这一点上,可以得出病毒主动对抗反病毒软件已不再停留在删除注册表启动项,关闭进程,进行映像劫持等的表面技术;而是发展到了能够真正与反病毒软件抗衡的水平。
因此,针对磁碟机大多数的反病毒软件均已瘫痪。磁碟机的传播手段:感染文件,挂马,移动存储介质;这三种传播方式是当今最为有效的传播方式,特别是网站挂马传播已成为病毒传播的主流。还利用了当今病毒最为成熟的技术:DLL注入(进行文件下载,病毒信息保护等),进程互锁,注册表破坏,加壳技术等。通过以上的分析,磁碟机以其传播之广,技术手段之多,反查杀能力之强已成为现在对用户电脑信息的最大威胁之一。
◆“大话木马”病毒为木马类,病毒运行后复制自身、衍生病毒文件,%WinDir%/Fonts/ardasase.fon、%WinDir%/Fonts/kvdxsicf.dll、%System32%/kvdxsiis.exe、%System32%/kvdxsima.dll;删除系统verclsid.exe文件,该文件会在WindowsShell或Windows资源管理器实例化任何外壳扩展之前对这些扩展进行验证:%System32%/verclsid.exe并删除自身。修改注册表,添加启动项,以达到随机启动的目的。禁用Windows自动更新与防火墙功能,以降低系统安全性。以kvdxsima.dll插入到大话西游3进程中进行游戏信息获取并回传。
◆“传奇盗号下载器159744”(Win32.Troj.EncodeIe.ao.159744),此病毒是一个网游盗号木马。它会盗窃《传奇》的帐号密码,同时还会下载其它木马到用户电脑中运行。
◆“木马更新模块28672”(Win32.Hack.Agent.sr.28672),这是某黑客远程程序的组成模块。它的任务是帮助黑客程序母体实现更新,以获取最新的功能与指令。
◆“传奇盗号下载器159744”(Win32.Troj.EncodeIe.ao.159744) 威胁级别:★
这个盗号木马针对《传奇》制作,进入系统后,它在当前目录下释放出自己的dll文件,该文件名称随机变化,但都类似于SDDynDll.dll、SDDynDl1.dll、SDDynDl2.dl、SDDynDl3.dll等。
接着,它会随时监视自己是否被金山毒霸或360安全卫士的监控进程发现,如果身份暴露,它就利用命令,直接关闭监控。
站稳脚跟后,病毒就搜索《传奇》的进程文件mir1.dat,注入其中,读取用户帐号和密码信息,并以cqit_log.txt的名称保存到系统盘根目录下,再将其发送到病毒作者指定的远程地址。
与此同时,该毒还会读取它之前释放到%WINDOWS%/system/目录下的msoscqit.dat文件,根据里面的地址信息,下载更多其它木马到用户电脑中运行。
◆“木马更新模块28672”(Win32.Hack.Agent.sr.28672) 威胁级别:★
这个病毒对用户系统与安全不构成直接的破坏作用。它的任务是更新自己所属木马的主文件,以便更好地执行黑客想要的远程控制任务。
该毒随母体进入用户系统后,就会从%WINDOWS%/system32/目录下读取系统自带的scheme.ini文件,利用它的部分数据来运行自己。同时,它申请一块与scheme.ini同样大小的内存块,为母体升级制造出足够的储存空间。
接着,木马的另一个模块从指定的服务器下载最新版本的主文件,由此毒将下载到的文件设置为隐藏属性,躲避用户的检查。并执行安装。当更新完成后,木马就可以执行病毒作者设计的最新指令,帮助黑客更好地执行非法控制。
在电脑中发现了此毒,并不代表一定是有完整的黑客木马进入系统,不过毒霸反病毒工程师仍建议进行一次全盘扫描。
二、针对以上病毒,IT粉丝网(ITFENSI.COM)安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、冠群金辰和安天实验室的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天实验室为IT粉丝网(ITFENSI.COM)安全频道提供病毒信息。
4.最好安装安天防线2008防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
5.安天反病毒应急中心及时进行了病毒库更新,升级安天防线2008到2008年8月7日的病毒库即可查杀以上病毒。
6.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
7.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
【相关文章】
上一篇: 11日病毒预报:木马病毒须慎重对待
下一篇:下面没有链接了
