扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、高危病毒简介及中毒现象描述:
◆“Iframe溢出者”变种ab是“Iframe溢出者”脚本病毒家族的最新成员之一,采用javascript脚本语言编写,并且经过加密处理,利用搜索工具条软件的漏洞传播其它病毒。“Iframe溢出者”变种ab一般内嵌在正常网页中,如果用户没有及时升级修补搜索工具条软件相应的漏洞补丁,那么当用户使用浏览器访问带有“Iframe溢出者”变种ab的恶意网页时,就会在当前用户计算机的后台连接骇客指定站点,下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。另外,用户一旦打开带有“Iframe溢出者”变种ab的恶意网页时,还会弹出广告窗口,干扰用户的正常工作和上网。
◆“玛格尼亚”变种cfz是“玛格尼亚”木马家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“玛格尼亚”变种cfz运行后,在“%SystemRoot%\help\”目录下释放组件“F3C74E3FA248.dll”。修改注册表,实现木马开机自动运行。采用HOOK技术和内存截取技术,在被感染计算机的后台监视用户打开的窗口标题,盗取《黄易群侠传》、《天堂》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“玛格尼亚”变种cfz还会在被感染计算机上下载更多的恶意软件,给网络游戏玩家带来非常大的损失。
◆“网游内存盗号者65536”这是一个原理很普通的盗号木马,之所以发出预警是该病毒的传播量有所增高。这个木马会通过建立全局监视的办法,盗取网络游戏《魔兽世界》、《赤壁》和《茶苑游戏大厅》的帐号信息。
它通过网页挂马和下载器的帮助进入用户的电脑系统后,在系统盘%WINDOWS%目录下释放出病毒主文件mfchlp32.exe,在%WINDOWS%\system32\目录下释放出用来执行盗号的文件mfchlp32.dll,然后就修改系统注册表,把主文件的相关信息加入其中,实现开机自启动。
如果成功开始运行,病毒就枚举系统上的进程,把mfchlp32.dll注入系统桌面explorer.exe 的进程空间,在系统上展开全局监视,搜索《魔兽世界》、《赤壁》和《茶苑游戏大厅》的进程,发现后注入其中,通过内存读取的方式获得用户的帐号密码,然后发送给病毒作者。
病毒中含有一个地址http:/ /www.ck***66.com/cy876/lin111.asp?&ie=##,经毒霸反病毒工程师检查,该地址是病毒作者指定的远程服务器,当病毒盗窃成功后,就会悄悄把赃物发送过去。
◆“投机份子下载器”这个病毒是一个下载器,它的原理也很简单。但毒霸反病毒工程师发现,在最近出现的一些具有对抗杀软能力的下载器下载名单中,这个下载器频频出现,看来下载器们也已开始采取互相合作。
该病毒在进入用户系统后,把自身复制到系统盘%WINDOWS%\system32\目录下,改名为liveupdate.exe。并复制系统中的文件URLMON.DLL,将它改名为lo.dll,也放到%WINDOWS%\system32\目录下。这个urlmon.dll是WINDOWS系统中关于对象链接和嵌入的模块,病毒会利用它来实现自己的一些动作。
接着,病毒会试图在注册表中添加自启动项,但是由于自身有错误,它并不能成功随系统启动。按照病毒作者原先的想法,当它成功运行起来后,就会从指定的地址http://www.lai****.com.cn/img/下载其它木马病毒并运行,病毒作者安排好的文件多达22个,名称为svrhost.exe,kavpro.exe,xia01.exe-xia20.exe,如果下载成功,它们会被藏在%WINDOWS%\system32\目录下。
◆“幻想游戏大盗”该病毒为木马类,病毒运行后释放文件到系统目录下,修改注册表添加启动项,达到随系统启动的目的。并将释放出来的动态链接库文件ticisms.dll超如到系统进程Explorer.exe进程模块中,进而监视还有关键字qqffo.exe和liveupdate.EXE的进程。qqffo.exe为QQ幻想游戏进程文件。该病毒主要通过网页挂马和捆绑式进行传播,进QQ游戏玩家造成一定的影响。
◆“下载者”该病毒为蠕虫病毒,病毒运行后调用GetSystemTime函数获取系统当前时间,遍历进程查找AVP.exe安全软件进程,如存在则把系统时间修改为2001年,衍生病毒驱动文件到%System32%目录下,重命名为d2d8.dll,病毒运行后自我删除,映像劫持多种安全软件及系统常用工具,以降低系统的安全性;连接网络,连接网络下载大量恶意文件,由于病毒种类繁多,给用户清除病毒带来极大的不便。
◆Win32/Cutwail.DR是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。
Cutwail运行时生成%Windows%\System32\main.sys文件。
病毒危害:
下载并运行任意文件;
发送大量的邮件;
Rootkit 功能。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。