桌面幽灵自动检测 萨德纳躲避防火墙

江民今日提醒您注意：在今天的病毒中Worm/Downloader.oe“桌面幽灵”变种oe和Trojan/Sadenav.c“萨德纳”变种c值得关注。

病毒名称：Worm/Downloader.oe
中 文 名：“桌面幽灵”变种oe
病毒长度：57308字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Worm/Downloader.oe“桌面幽灵”变种oe是“桌面幽灵”蠕虫家族的最新成员之一，采用VC++编写，并经过加壳处理。“桌面幽灵”变种oe运行后，自动检测自身进程是否被其它调试软件所调试分析，一旦发现便自动关闭退出。可能会将系统时间设置为2001年，导致某些安全软件杀毒和保护功能失效。在被感染计算机的后台调用系统“svchost.exe”进程，并将恶意代码注入到其中运行，隐藏自身，躲避安全软件的查杀。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建病毒配置文件。在临时文件夹下释放3个带有“wxp2ins”字样的恶意驱动文件，文件名随机生成，并将文件属性设置为“隐藏”。这些驱动文件可还原系统“SSDT”，致使某些安全软件的防御和监控功能失效，从而达到躲避监控的目的。驱动文件还可能会覆盖破坏系统程序“explorer.exe”，把恶意可执行代码写入到系统程序中，具有绕过“还原保护系统”，覆盖破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。遍历当前计算机系统中的进程列表，一旦发现与安全相关的进程便强行将其关闭。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建批处理文件并调用运行，利用该批处理程序去关闭“系统防火墙”。修改注册表，利用进程映像劫持功能禁止指定的安全软件运行。在被感染计算机系统的后台连接骇客指定站点，下载大量木马病毒到用户计算机中安装运行，给用户带来极大的损失。另外，“桌面幽灵”变种oe还具有自我删除的功能，以便消除痕迹。

病毒名称：Trojan/Sadenav.c
中 文 名：“萨德纳”变种c
病毒长度：47616字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Sadenav.c“萨德纳”变种c是“萨德纳”木马家族的最新成员之一，采用Delphi编写，是由某木马程序释放出来的DLL木马组件，一般被注册为浏览器辅助插件（BHO）来实现木马随系统浏览器的启动而加载运行。“萨德纳”变种c运行后，将自身添加到被感染计算机上某些防火墙程序的白名单中，以躲避防火墙程序的拦截。在被感染计算机系统后台秘密监视用户的操作，记录用户运行的程序名、键盘输入等内容，并将这些内容保存到指定的文件中，定期发送到骇客指定的服务器上，可能造成用户机密信息的泄露，给用户带来一定程度的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    4、江民杀毒软件采用窗口保护以及进程保护技术，避免病毒关闭杀毒软件进程，确保杀毒软件自身安全，更好地保护用户计算机的安全。
    5、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页，如检测发现恶意网页，用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。    6、江民杀毒软件可以在系统崩溃无法进入的情况下，一键恢复系统，无论是恶性病毒破坏或电脑用户误删除系统文件，都可轻松还原系统到无毒状态或正常状态。
    7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。