05.30病毒预警:“武装下载器” 根据列表地址下载病毒

ZDNet 安全频道频道 更新时间:2008-06-13 作者: 来源:SohuIT

本文关键词:下载器 病毒文件 地址下载

  “播放器漏洞脚本2136”(JS.Agent.tv.2136),这是一个下载器程序。它利用RealPlayer多媒体软件的漏洞来运行,一旦运行成功将会从指定的地址下载木马程序执行。



  “武装下载器77824”(Win32.Troj.Agent.bl.77824),这是一个具有对抗安全软件能力的病毒下载器。它通过重定位内核文件恢复系统的SSDT表,从而使一些具有所谓“主动防御”的安全软件失效。接着,就连接远程地址,下载其它病毒。



  一、“播放器漏洞脚本2136”(JS.Agent.tv.2136) 威胁级别:★★



  从数周前开始,RealPlayer的漏洞利用病毒数量开始异常增多,毒霸反病毒工程师几乎每天都能截获到大量利用RealPlayer漏洞进行破坏的脚本病毒,相信这种情况与病毒制作集团不断开发新的病毒生成器有较大关系。



  此篇预警播报中的病毒是众多RealPlayer漏洞利用脚本病毒中的一个变种,它和其它变种一样,都是利用网页挂马和捆绑视频文件的方式进行传播。只要用户浏览被挂马的网站,或者播放了含毒视频文件,病毒就可以在用户系统中发作。



  病毒运行起来后在后台建立远程连接,从病毒作者指定的地址http://www.d**io.com下载一个病毒文件,并保存到系统盘的%WINDOWSsystem32目录下,命名为%a.exe。



  受此毒影响的RealPlayer版本为6.0.10.4,安装得有该版本的用户请尽快下载升级文件。



  关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/js-agent-tv-2136-50635.html



  二、“武装下载器77824”(Win32.Troj.Agent.bl.77824) 威胁级别:★



  这个下载器病毒带有自己驱动文件,因此对抗安全软件的能力相对普通病毒来说要高出许多。它如果进入用户系统,就会利用自己的驱动,重定位内核文件,恢复用户电脑中的SSDT表。这样一来,一些具有所谓“主动防御”功能的安全软件的防御能力就会大大降低。



  病毒进入系统后,会判断当前的WINDOWS操作系统是否为 2000、XP或2003版本,如果是,则在系统临时目录%Temp% 文件夹下释放出驱动文件。然后修改注册表,创建服务名为“winsync32”的系统服务,服务路径指向正是之前释放出的驱动文件。



  等驱动文件解除了安全软件的“武装”,病毒就把自身文件msosiocp.dll复制至 %WINDOWS%system32目录下,并将其注入系统桌面进程explorer.exe,实现隐蔽运行。如果可以成功运行起来,它就可以连接病毒作者指定的地址http:/ /c.1**dm.com/下载一份名为okok.txt的下载列表,根据列表中的地址去下载更多其它病毒到用户电脑中运行,引起更多的破坏行为。



  关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-bl-77824-50636.html



  金山反病毒工程师建议



  1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。



  2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。



  金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年5月30的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。

安全频道 下载器 最新报道

安全频道 病毒文件 最新报道

[an error occurred while processing this directive]