扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、明日高危病毒简介及中毒现象描述:
◆“PPT蛀虫”变种a是“PPT蛀虫”脚本病毒家族的最新成员之一,采用汇编语言编写,并且代码经过加密处理,利用Microsoft PowerPoint中的漏洞传播其它病毒。“PPT蛀虫”变种a一般都是以一小段ShellCode汇编加密代码的形式内嵌在正常Microsoft PowerPoint文档中。如果用户计算机没有及时升级修补Microsoft PowerPoint中相应的漏洞补丁,那么当用户运行带有“PPT蛀虫”变种a的“OFFICE PPT文档”(Microsoft PowerPoint)时,就会在当前用户计算机系统的后台连接骇客指定的远程服务器站点,下载其它恶意程序并自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来一定的损失。
◆“AV杀手”变种ff是“AV杀手”木马家族的最新成员之一,采用高级语言编写,并经过加壳处理。“AV杀手”变种ff运行后,在“%SystemRoot%\”目录下释放文件“uu.exe”,并在“%SystemRoot%\system\”目录下释放文件“sms.exe”。自我复制到被感染计算机系统的“启动”文件夹中,文件名伪装成QQ在线升级程序名,实现开机自启动。在被感染计算机系统的后台连接骇客指定站点,下载其它恶意程序并在被感染计算机上自动运行。在被感染计算机系统的后台终止某些安全软件的服务,致使其防护和杀毒功能失效。强行篡改注册表相关键值,导致某些安全软件无法启动运行,大大降低被感染计算机上的安全性。
◆“雁过留声盗号器118784”为了盗号,病毒作者的总是想出各种各样的方法。由于杀毒软件对游戏和聊天工具等软件的进程实行严厉监视,木马已经越来越难以通过注入进程的方式盗号,于是一些病毒作者开始在截获用户对外通讯信息方面打主意。昨日毒霸反病毒工程师就捕获到这样一个病毒。
该病毒通过网页挂马和捆绑文件等方式混进用户电脑,将病毒文件MSetole.dll和serve.exe隐藏在系统盘的%WINDOWS%\system32\目录下,然后修改系统注册表,把它们的相关数据写入启动项,实现开机自启动。如果检查注册表,可发现这两个启动项名称分别为ImagePath和ActiveService,不注意的话,很容易被忽视。
接下来,就该盗号了。木马冒充Internet Explorer_Server,创建IE服务器,在用户与真正的服务器之间建立监视。当发现用户通过IE发出帐号和密码时,就被它截取了一次,从而实现盗号。盗窃成功后,赃物会以网页报表的形式发送到病毒作者指定的远程地址。由于普通用户在上网时需要用到的大部分帐号和密码都是通过IE发送,此病毒也就成了一个“通吃”型盗号木马,需要警惕。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-pswtroj-onlinegames-118784-50503.html
◆“天龙笨贼94304”这是一个具备对抗安全软件功能的盗号木马,不过只能对付少数安全辅助软件,对毒霸等杀毒软件无效。
病毒进入电脑后,将病毒文件gnolnait.cfg和gnolnait.dll释放到系统盘的%WINDOWS%\system32\目录下,并在%WINDOWS%\system32\drivers\目录下释放出一个mselk.sys文件。接着,它会试图查找并关闭360安全卫士、QQ医生等安全辅助软件,不过由于病毒作者的粗心,输错了进程,这一次360得以幸免于难。
同时,病毒修改系统注册表启动项,使自己实现开机自启动,并与运行后查找并结束系统上的Game.exe 进程。虽然病毒只会盗取《天龙八部》游戏的帐号信息,可是由于许多游戏都含有以Game.exe命名的文件,因此,还是会有不少游戏被关闭的。当用户重新进入游戏时,病毒就通过监视用户在帐号和密码框中的输入,窃取到帐号信息。
此外,该病毒还有“黑吃黑”的举动,它为保证自己的运行正常,会在%WINDOWS%\system32\目录下搜索是否存在一个名为mseion.sys 文件,如果找到就将它删除。经毒霸反病毒工程师的分析,这是另一个网页木马文件,与该病毒会有一定的冲突。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-gameshackt-gu-94304-50504.html
◆“recsl机器人”该病毒用Microsoft Visual C++ 6.0编写,加PECompact变形壳试图躲避防病毒软件的查杀。病毒运行后,衍生病毒文件到系统%System32%目录下。添加注册表自动运行项与系统服务项以实现随机引导病毒体。创建大量线程用于扫描用户所在网络,若发现存在默认共享或弱口令则传播自身。此病毒为一个利用Windows 平台下IRC 协议的网络蠕虫,受感染用户可能会被操纵进行Ddos 攻击、远程控制、发送垃圾邮件、创建本地Tftp 、FTP 等行为。
◆“疯狂下载者”该病毒属木马,病毒伪装微软版本信息,用以迷惑用户。病毒运行后衍生病毒文件到系统目录%system32%下,d26bf5b8.dll、d26bf5b8.exe 、d26bf5b8t.exe。连接网络下载病毒文件,修改注册表,创建服务,并以服务的方式达到随机启动的目的,删除系统正常服务。尝试结束卡巴斯基进程。
◆Win32.BettInet.CT是一种能够下载并安装其它程序的特洛伊病毒,它还将被感染机器的相关信息发送到远程服务器。
BettInet特洛伊经常被Win32/SillyDl trojan family变体下载。BettInet依次下载SillyDl特洛伊,生成一个下载循环,目的是要安装BettInet,直到它收到安装其它东西(可能是显示弹出广告)的指令。
建议:
不要随意运行exe文件;
设置强壮的管理员帐号。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。