【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在今天的病毒中“小不点”变种、“玛格尼亚”变种、“拆墙工人”、“网游盗号木马94208”和“Win32.SillyDl.DOO”都值得关注。
一、今日高危病毒简介及中毒现象描述:
◆“小不点”变种duo是“小不点”木马家族的最新成员之一,采用VC++ 6.0编写,并经过加壳处理。“小不点”变种duo运行后,在被感染计算机系统的指定目录下释放一个恶意DLL组件文件,并将文件属性设置为隐藏、存档。自我注册为系统服务,实现木马开机自动运行。在被感染计算机系统的后台盗取“腾讯QQ”以及多款网络游戏玩家的登陆帐号、登陆密码等信息,并在后台将窃取的玩家信息发送到骇客指定的远程服务器站点上,给玩家带来不同程度的损失。另外,“小不点”变种duo还具有躲避、反攻安全软件的功能等,严重降低被感染计算机的安全性。
◆“玛格尼亚”变种bsj是“玛格尼亚”木马家族的最新成员之一,采用高级语言编写,并经过加壳处理。“玛格尼亚”变种bsj运行后,自我插入到被感染计算机的“explorer.exe”等用户级权限的进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在后台秘密监视用户打开的窗口标题,专门盗取某个网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。
◆“拆墙工人”病毒进入到系统中后,将感染源spoolsv.exe文件释放到系统盘的%WINDOWS%\system32\drivers\目录下,并迅速搜索全部的磁盘分区,除%WINDOWS%目录外的所有exe文件都会被它感染。
病毒进行感染的方式是将自身附加到被感染的文件尾部,如果用户运行被感染文件,病毒就会被激活。而当用户复制了被感染的文件,病毒就可扩大传播自己的范围。
接着病毒将自己的相关数据写入注册表启动项,达到随系统自动运行之目的。需注意的是,它在注册表中修改的数据与Windows系统防火墙有关,当系统重新启动后,它就会加入到防火墙的运行列表中,企图突破防火墙。
如果防火墙被突破,病毒就可以自由地连接网络,对外扫描特定网段,连接木马种植者(黑客)指定的地址,实现后门功能。一旦黑客利用后门侵入用户电脑,就能进行任何想要的操作。
◆“网游盗号木马94208” 病毒进入用户的电脑系统后,在系统盘里释放出两个病毒文件,为%WINDOWS%目录下的LotusHlp.exe和%WINDOWS%\system32\目录下的LotusHlp.dll。其中LotusHlp.exe是病毒的主程序,在释放完文件后,病毒就会修改注册表,将该文件的相关数值写入启动项,使自己能在以后每次用户启动电脑时跟着跑起来。
当随系统启动,病毒就注入到系统桌面进程Explorer.exe里,查找网游《破天一剑》的主文件china_login.mpr,以及《QQ自由幻想》的主文件为qqffo.exe,如果找到则注入游戏进程进程,读取里面有关帐号信息的数据。
如顺利的话,病毒就悄悄建立远程连接,连接木马种植者指定的网址hxxp://www.n**dvd.com/k*fe**ao/,通过表单形式将盗取的信息提交。给游戏玩家造成虚拟财产的损失。
◆Win32.SillyDl.DOO是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时,通过Internet Explorer浏览器安装的,其它的特洛伊下载器或程序,或者是用户选择安装的软件包。Win32/SillyDl变体可能下载其它的特洛伊病毒,或者没有病毒的程序例如广告软件。同时,它会尝试下载更新。这种病毒通常利用HTTP下载。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸和冠群金辰为51CTO安全频道提供病毒信息。
【相关文章】
相关文章
