科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道04.24病毒预警:“恶莲下载器”破坏系统文件、下载木马

04.24病毒预警:“恶莲下载器”破坏系统文件、下载木马

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

“AV终结者变种106496”(Win32.Troj.AVKiller.ex.106496),这是一个AV终结者的最新变种。它会劫持大部分安全软件,破坏安全模式,还会释放出传染性极高的Auto病毒,借以扩大自己的传播范围。

作者:金山安全中心 来源:金山安全中心 2008年4月30日

关键字: 病毒预警 金山毒霸 金山毒霸病毒库

  • 评论
  • 分享微博
  • 分享邮件

  “AV终结者变种106496”(Win32.Troj.AVKiller.ex.106496),这是一个AV终结者的最新变种。它会劫持大部分安全软件,破坏安全模式,还会释放出传染性极高的Auto病毒,借以扩大自己的传播范围。

  “恶心莲蓬下载器”(Worm.AutoRuns.m),这是一个木马下载者风险程序。该病毒会在硬盘各个分区的根目录下生成AUTO病毒,并严重破坏系统文件,然后下载大量木马文件。

  一、“AV终结者变种106496”(Win32.Troj.AVKiller.ex.106496) 威胁级别:★★

  AV终结者又一次成为了毒霸反病毒工程师们注意的目标。在近日统计的病毒传播趋势资料中,AV终结者的一个变种显得十分活跃,这也许与有人故意进行传播有关。

  该病毒进入系统后执行的操作,与以前的版本基本无异,都是先释放出病毒文件,然后修改系统注册表实现自动启动,并紧接着执行映象劫持,将用户系统中安装的安全软件弄瘫痪,以便于病毒以后的破坏操作。病毒释放出的文件wuauc1t.exe和sssurl.dll会被伪装成系统文件,隐藏在%WINDOWS%根目录下。

  为防止用户进行手动查杀,病毒修改注册表中的相关数据,使中毒电脑无法显示隐藏的文件和系统文件,这样一来,当病毒把自己伪装成系统文件并设置隐藏模式后,用户就无法找到它们。同时,病毒还会禁止用户进入安全模式和打开注册表编辑器,以便长久地在电脑中驻留下去。并且,病毒会在每一个磁盘分区的根目录下生成一个explorer.exe文件和AUTORUN.INF文件,当用户在中毒电脑上使用U盘等移动存储设备时,病毒就会趁机将其感染。

  最后,病注入系统桌面进程和其它非系统进程中,隐蔽地运行自己,从病毒作者指定的地址下载大量盗号木马,将用户系统中有价值的信息盗窃一空,引发无法估计的损失。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-avkiller-ex-106496-50559.html

  二、“恶心莲蓬下载器”(Worm.AutoRuns.m) 威胁级别:★★

  这个病毒是一个木马下载器的变种。它在系统中运行起来后,会释放出数量惊人的病毒文件,这些病毒文件都集中在系统盘中,其中大部分位于%windows%\system32\目录下。如果用户看到那长长的文件列表,并饱尝该毒的伤害,会觉得像看了近来网上流行的“莲蓬图”一般恶心。

  在释放文件的同时,病毒会感染硬盘中全部的的.exe、.htm、html文件,并删除%windows%\system32\目录下的系统补丁文件verclsid.exe,让自己接下来的破坏更顺利。接着,病毒替换掉%windows%目录下的系统桌面进程explorer.exe。

  在病毒释放出的若干文件中,%windows%\system32\目录下的75132.dat和%windows%\system32\目录下的urjuujdw.hew,值得注意。这两个进程相互配合,指挥%windows%\system32\目录下的msosdohs00.dll和%windows%\system32\目录下的msosdohs01.dll插入系统核心进程、explorer.exe进程以及包括安全软件在内的所有应用程序进程。执行破坏还原保护、关闭防火墙、破坏系统监视软件、阻止用户进入桌面、安装恶意插件等动作。

  最后,病毒链接病毒作者指定的远程地址,下载27个病毒文件。其中包括由0至25的数字命名的exe文件,以及一个名为oko.exe的文件。经毒霸反病毒工程师的分析,这些文件都是盗号木马,如果成功进入电脑,将引起无法估计的更大损失。

  此外,病毒还在硬盘各个分区的根目录下生成AUTO病毒MSDOS.BAT和autorun.inf,当用户在中毒电脑上使用移动存储设备时,就传染上去,实现更大规模的传播。如果用户运行MSDOS.BAT,病毒就会悄悄访问病毒作者指定的地址http://58.*3.1*8.37,下载大量病毒。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/worm-autoruns-m-50560.html

  金山反病毒工程师建议

  1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

  2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

  金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年4月24的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章