扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:Arade 来源:51CTO 2008年5月1日
关键字: 木马病毒专杀
51CTO安全频道今日提醒您注意:在明天的病毒中“代理木马”变种fz、“赛门斯”变种、“潜伏者”、““锁定凶手”变种”和“Win32.Bancos Family”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“代理木马”变种fz是“代理木马”木马家族的最新成员之一,利用影音播放器软件溢出漏洞传播其它病毒,采用javascript脚本语言编写,并且经过加密处理。“代理木马”变种fz一般内嵌在正常网页中,如果用户计算机没有及时升级修补影音播放器软件相应的漏洞补丁,那么当用户使用浏览器访问带有“代理木马”变种fz的恶意网页时,就会在当前用户计算机的后台连接骇客指定站点,下载大量恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
◆“赛门斯”变种是“赛门斯”广告程序家族的最新成员之一,采用VC++ 6.0编写。“赛门斯”变种运行后,在被感染计算机的后台获取系统网卡的MAC地址,收集被感染计算机系统的配置信息。在后台连接骇客指定站点,进行访问量的统计和其它恶意程序下载等操作。读取注册表相关键值,检查自身组件是否被禁用,一旦发现被禁用便重新启动病毒文件。自我注册为BHO,实现“赛门斯”变种随系统浏览器的启动而加载运行。另外,“赛门斯”变种可能会在被感染计算机系统中定时弹出恶意网页、广告窗口等,干扰用户的正常操作。
◆“潜伏者”该病毒为木马类。病毒运行后释放文件%Documents and Settings%\Local Settings\Temp\dat7.tmp、%Documents and Settings%\Local Settings\Temp\dat8.tmp、%Windir%\Temp\dat9.tmp
。并将释放文件插入到Winlogon.exe进程中,连接网络获取病毒下载列表,下载大量的病毒文件并运行。其中以盗号木马居多。这给病毒的清除带来了一定的困难。
◆““锁定凶手”变种”该病毒为下载类木马,病毒运行后,复制自身到"%Documents and Settings%\All Users\「开始」菜单\程序\启动"下,以达到在任意用户启动系统的时候加载该病毒文件;通过给当前系统内执行的进程拍快照,来判断是否存在AVP.exe进程,存在便修改系统时间为2003年,月、日不变,以使卡巴斯基过期失效;连接网落,通过读取病毒内部下载列表,利用API函数URLDownloadToCacheFile下载病毒到临时文件夹下,使用API函数WinExec执行下载后的病毒文件;当此病毒实现完自身的功能后,便会结束病毒进程、删除自身。
◆Win32.Bancos Family名字用来描述很多特洛伊,它们都有一个共同的特征,它们尝试盗窃敏感信息,用来通过网上银行未经授权的进入银行帐户。Bancos的很多变体的目标是巴西银行。第一个发现的Bancos特洛伊是在2003年,现在已经有2000多种变体,每天都会发现很多。
Bancos的一些变体作为按键记录器(keyloggers),跟踪记录用户进入特定网页的按键。还有一些使用网络钓鱼技术,显示假的某个银行的登陆窗口,随后进入获取信息。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、冠群金辰和安天为51CTO安全频道提供病毒信息。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。