至顶网›安全频道 ›8日病毒预报："千足虫"出新变种小心木马成员霸e族

8日病毒预报："千足虫"出新变种小心木马成员霸e族

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

安全频道今日提醒您注意：在明天的病毒中“千足虫”变种ay、“霸e族”变种bs和“Win32/Mallar”都值得关注。

作者：Arade 来源：51CTO 2008年4月28日

　　一、明日高危病毒简介及中毒现象描述：

　　◆“千足虫”变种ay是“千足虫”家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“千足虫”变种ay运行后，在被感染计算机系统的“%SystemRoot%\system32\com\”目录下释放病毒组件文件“lsass.exe”、“smss.exe”、“netcfg.000”和“netcfg.dll”，还会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒组件文件“dnsq.dll”。利用驱动程序来恢复SSDT Hook，使某些安全软件的监控失效。强行关闭大部分杀毒软件和安全工具软件，大大降低了被感染计算机上的安全性。被感染计算机系统会经常出现死机或长时间卡住不动的现象。利用“ARP病毒”在局域网中进行自我传播。感染除系统盘外所有盘符下的可执行文件、网页文件、RAR和ZIP压缩包中的文件等(加密感染)，感染后的程序图标变为16位的图标，图标变模糊，类似于马赛克。一旦发现与安全相关的窗口存在，强行将其关闭。在所有盘符下生成“autorun.inf”和病毒体，并且对这些文件进行实时检测保护，利用移动设备进行传播。破坏注册表，致使用户无法进入“安全模式”、无法查看隐藏的系统文件，致使注册表启动项失效。修改注册表，实现开启自动播放的功能。强行删除所有安全软件的关联注册表项，使其无法开启监控。利用进程守护技术，将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联，实现进程守护，一旦病毒文件被删除或被关闭，便马上生成并重新运行。以系统级权限运行，部分进程使用了进程保护技术。利用控制台命令来设置病毒程序文件的访问运行权限。利用了重启移动文件的技术，在用户重新启动计算机时把病毒主程序体移动到系统[启动]文件夹中，实现开机自启动。“千足虫”变种ay会在被感染计算机系统的后台访问骇客指定的广告站点，进而提升其访问量，刷网络排名等操作。另外，“千足虫”变种ay还可以自升级。

　　◆“霸e族”变种bs是“霸e族”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳处理。“霸e族”变种bs运行后，自我复制到系统目录下或Windows目录下。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台秘密监视用户打开的窗口标题，一旦发现用户进行在线交易便记录用户的键盘操作和鼠标操作，窃取用户在网上进行在线交易的信息、个人注册信息等私密数据，并将窃取的用户信息发送到骇客指定的远程服务器上，给用户带来极大的损失。另外，“霸e族”变种bs还会从被保护的存储区记录网络和邮件帐户信息，给用户带来不同程度的损失。

　　◆Win32/Mallar是一族多形态的蠕虫病毒，病毒通过攻击多个系统漏洞进行传播。这种病毒的变体也比较多而且还在不断出现新的病毒变体。

　　Mallar病毒试图通过以下几种windows系统漏洞进行传播：

　　Microsoft Windows Server service buffer overflow vulnerability (MS06-040)

　　可以通过以下站点下载相应的系统补丁：

　　http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx

　　Microsoft Windows Plug and Play service buffer overflow vulnerability (MS05-039)

　　可以通过以下站点下载相应的系统补丁：

　　http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

　　Microsoft Windows LSSS buffer overflow vulnerability (MS04-011)

　　可以通过以下站点下载相应的系统补丁：http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx

　　Microsoft Windows RPC malformed message buffer overflow vulnerability (MS03-026)

　　可以通过以下站点下载相应的系统补丁：