【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“Real蛀虫”变种、"垃圾虫"变种、“avp杀手”和“机器狗变种”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“Real蛀虫”变种ac运行后,内嵌在正常网页中,如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁,那么当用户使用浏览器访问带有“Real蛀虫”变种ac的恶意网页时,就会在当前用户计算机的后台连接骇客指定站点,下载大量恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能为是网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
◆“垃圾虫”变种b运行后,修改注册表,实现网络蠕虫开机自动运行。在被感染计算机的后台搜索有效的邮箱地址,利用被感染的计算机群发垃圾邮件、广告邮件,邮件信息是随机的自定义信息。另外,“垃圾虫”变种b还会在被感染计算机系统的后台访问一系列指定站点,搜索站点中有效的邮箱地址,然后向其搜索到的所有有效地址发送大量垃圾信息、广告邮件。
◆“avp杀手”病毒为蠕虫病毒,病毒运行后,获取本地时间,病毒通过调用Process32Next函数遍历进程搜索"AVP.EXE"安全软件进程,如果存在则把系统时间修改成2001年5月, 目的使卡巴主动失效,创建注册表病毒服务项、映像劫持多款安全软件,目的使系统安全性降低,查找svchost.exe进程,通过GetProcessMemory函数读取内存空间,查到该进程后申请内存空间并创建进程,连接网络下载大量恶意文件并运行,给用户清除病毒带来极大的不便。
◆“机器狗变种”病毒为下载者木马类,病毒运行后衍生ctfmon.exe到%Windir%目录下,测试是否能访问www.google.cn或www.baidu.com,如能访问则连接网络读取列表下载大量恶意文件,并调用ShellExecute函数打开该病毒文件,判断当前进程里是否存在BKPCLIENT.EXE(贝壳磁盘保护)进程,不存在写驱动穿以下还原及安全系统,GUARDFIELD.EXE(360还原保护器)、BARCLIENTVIEW.EXE(网维大师)、FRZSTATE2K.EXE(冰点还原精灵)、QZCLIENT.EXE(网吧系统防护程序),将%Windir%目录下的Explorer.exe复制到%System32%目录下,之后将Explorer.exe进程结束后加载%System32%目录下的Explorer.exe,并感染%Windir%目录下的Explorer.exe文件,该病毒调用IsDebuggerPresent检测反调试器,如发现反调试器则调用shutdown函数立即执行关闭计算机操作,病毒运行后创建emsf3.bat文件并调用其删除自身。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、冠群金辰和安天实验室的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天实验室为51CTO安全频道提供病毒信息。