扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、明日高危病毒简介及中毒现象描述:
◆“网银窃贼”变种hzz运行后,在“%SystemRoot%\system32\”目录下释放病毒文件“IEBHO.dll”。修改注册表,将其注册为浏览器辅助工具(BHO),实现木马开机自动运行。在被感染计算机的后台秘密监视用户打开的窗口,一旦发现用户访问某些在线银行网站,秘密记录用户键盘和鼠标操作,窃取用户网上银行的账户、密码等机密信息,并将账户信息发送给骇客,给某些网上银行用户带来不同程度的损失。
◆“DNS变色龙”变种ftx运行后,自我复制到Windows目录下,并删除病毒原始文件。修改注册表,实现木马开机自动运行。强行篡改DNS设置,降低被感染计算机上的安全设置,可能导致被感染计算机无法正常连接网络等。另外,“DNS变色龙”变种ftx还可以从指定站点下载其它恶意程序并在被感染计算机上自动运行,大大降低了被感染计算机上的安全性。
◆“剑侠盗号木马102400”:如果在玩游戏时遇到突然掉线或程序关闭的情况,建议不要马上重新登录,你所遭遇的不一定是网络故障,而有可能是盗号木马的入侵。在毒霸反病毒工程师长久以来分析过的盗号木马中,有一类木马是通过强行中止游戏的方式来盗号的,近日,这类木马再次出现。
此次分析的这个木马,它会以网页挂马、文件捆绑等方式进入用户电脑系统,在系统盘下释放出两个病毒文件,即%WINDOWS%\目录下的mppds.exe与%WINDOWS%\system32\目录下的mppds.dll。其中mppds.exe是病毒主文件,它会被写入注册表启动项,实现开机自动运行。而mppds.dll则负责盗号工作。
如果顺利运行起来,病毒就把mppds.dll注入桌面进程explorer.exe中,然后悄悄建立远程线程,激活病毒代码,开始遍历进程。如果查找网络游戏《剑侠情缘2》的文件“so2game.exe”,病毒便会将其关闭。当玩家重启游戏后,病毒在游戏内存空间中搜索玩家通过游戏登陆窗口输入的数据,以此获取帐号和密码等信息,并以网络收信空间的方式发送给病毒作者。
◆“万能饵料盗号者”这是一个可以危害多款网游的盗号木马。它的作案原理与大多数其它盗号木马一样,都是靠注入游戏进程来作案,但由于它所注入的进程在多款游戏中都有,因此覆盖面较大。病毒在进入电脑后,在系统盘%windows%目录下释放病毒文件SHAProc.exe,同时在%windows%\system32\目录下释放出SHAProc.dat。然后,病毒把自己的相关数据写入系统注册表,实现自动启动。在这个过程中,它会创建线程监视是否有杀毒软件卡巴斯基的警告框弹出,如果有则关闭。
运行起来后,病毒创建单独的线程,监视用户系统,查找并注入Game.dll模块,读取帐号和密码数据。由于多款网游都具有Game.dll文件,受到影响的网游会比较多。根据毒霸反病毒工程师的统计,目前含有Game.dll的各款网游中,《魔兽争霸》的玩家较多,因此,该款游戏的的玩家需要特别留意。
此外,除盗取网游帐号外,该病毒也会监视QQ聊天工具的进程,伺机盗取帐号密码。不过如果已经安装了毒霸,就不必担心了。
◆“Win32.SillyDl.DOW”是一种下载的特洛伊病毒。可能是用户访问恶意网页时,通过Internet Explorer浏览器安装的,其它的特洛伊下载器或程序,或者是用户选择安装的软件包。该变种下载其它的特洛伊病毒,或者没有病毒的程序例如广告软件。同时,它会尝试下载更新。这种病毒通常利用HTTP下载。
建议不要随意运行EXE文件;系统设置强壮的管理员口令。
◆“下载突击兵”病毒为下载者病毒类,病毒运行后,衍生病毒文件到系统目录%System32%下;重命名为:msosiocp.dll,并在%System32%\Setup\下创建文件名为:en_1072.bin,在目录%Temp%下释放驱动tmp1.tmp、tmp2.tmp、tmp3.tmp,修改文件属性为隐藏,修改注册表键值使explorer.exe以及由explorer.exe启动的进程自动加载msosiocp.dll;
添加注册表服务,调用SCM写注册表项将tmp*.tmp注册成名为winsync32的服务,通过相关函数启动被注册的服务加载驱动,将msosiocp.dll写入到每个新创建的进程空间中;遍历进程查找explorer.exe,申请内存空间将msosiocp.dll写入,通过远程线程创建激活病毒代码进行代码注入;逃避杀毒软件的查杀,并访问恶意网站下载其它病毒程序并运行。
◆“黑客门”病毒为系统内核级病毒,通过修改系统服务调度表(SSDT),HOOK掉病毒释放的附属文件、进程名,并插入线程到系统进程中,给清除病毒体带来极大困难。首先,病毒释放驱动文件并加载,然后在用户空间可以通过直接读写\device\physicalmemory来修改SSDT的入口,从而可拦截系统调用API函数,当有查询或创建与病毒释放文件同名的事件发生时,即刻过滤掉。病毒通过创建系统服务的形式加载病毒体。该病毒可被人利用来控制用户电脑。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、冠群金辰和安天实验室的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天实验室为51CTO安全频道提供病毒信息。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者