【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明后三日的病毒中“BHO劫持者”变种db、“U盘寄生虫”变种lu、“视频宝宝”变种dah、“TrojanSpy.Delf”变种bhb 、“网游大盗”变种agot、“Trojan/Delf”变种czo、“密码盗窃器
一、明后三日高危病毒简介及中毒现象描述:
◆“BHO劫持者”变种db是“BHO劫持者”木马家族的最新成员之一,采用Delphi语言编写,并经过加壳保护处理。“BHO劫持者”变种db运行后,强行篡改被感染计算机中注册表相关项,达到修改IE浏览器默认首页等设置的目的。在被感染计算机系统中定时弹出恶意网页广告网页窗口等,干扰用户的正常操作。自我注册为BHO,实现木马随系统浏览器的启动而加载运行。在被感染计算机系统的后台连接骇客指定站点,获取其它恶意程序的下载列表,在被感染计算机上下载恶意程序并自动调用运行,给用户带来不同程度的损失。
◆“U盘寄生虫”变种lu是“U盘寄生虫”蠕虫家族的最新成员之一,采用VB 6.0编写。“U盘寄生虫”变种lu运行后,自我复制到被感染计算机系统盘的指定目录下,并重新命名为“service.exe”。修改注册表,实现蠕虫开机自动运行。在被感染计算机系统的所有盘符根目录下创建“autorun.inf”文件和木马主程序文件“service.exe”,达到双击盘符启动“U盘寄生虫”变种lu运行的目的。“U盘寄生虫”变种lu运行后,可能会在被感染计算机系统中定时弹出恶意广告网页或者下载其它恶意程序到被感染计算机系统中并安装运行,给用户带来不同程度的损失。
◆“视频宝宝”变种dah是“视频宝宝”木马家族的最新成员之一,采用VB 6.0编写,病毒主程序图标伪装成ZIP压缩包软件的图标,利用U盘等移动存储设备进行传播。“视频宝宝”变种dah运行后,将病毒文件属性设置为隐藏。修改注册表,实现木马开机自动运行。在被感染计算机系统中的所有盘符(除了当前系统盘符以外)的根目录下创建“autorun.inf”文件和木马主程序文件“systemchk.exe”,达到一双击盘符便启动“视频宝宝”变种dah运行的目的。另外,“视频宝宝”变种dah还可能在被感染计算机系统中定时弹出恶意广告网页,或者下载其它恶意程序到被感染计算机系统中并调用运行,给用户带来极大的损失。
◆“TrojanSpy.Delf”变种bhb是“TrojanSpy.Delf”木马家族的最新成员之一,采用VC++ 6.0编写。“TrojanSpy.Delf”变种bhb运行后,在被感染计算机的系统中定时弹出广告网页,以增加某些网站的访问量。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台连接骇客指定站点,下载恶意程序“usrinit.exe”并在被感染计算机上自动调用运行。该恶意程序为一个广告程序(流氓软件)。
◆“网游大盗”变种agot是“网游大盗”木马家族的最新成员之一,采用Delphi语言编写。“网游大盗”变种agot运行后,自我插入到被感染计算机的系统的“explorer.exe”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术专门盗取网络游戏《风云-雄霸天下》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使《风云-雄霸天下》游戏玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。
◆“Trojan/Delf”变种czo是“Trojan/Delf”木马家族的最新成员之一,采用Delphi语言编写。“Trojan/Delf”变种czo运行后,自我复制到被感染计算机系统盘的指定目录下,文件名伪装成某安全软件的安装程序名,并将文件属性设置为只读、隐藏、存档。自我注册为系统服务,实现木马开机自动运行。在被感染计算机的后台调用系统“svchost.exe”进程,将恶意可执行代码注入其中并调用运行,隐藏自我,防止被查杀。利用正在运行的“svchost.exe”进程把病毒主程序文件以独占方式打开,导致用户在不关闭“svchost.exe”进程的情况下无法删除病毒主程序。“Trojan/Delf”变种czo可完全远程控制被感染的计算机,窃取用户的私密信息,并可对被感染计算机上的所有文件进行任意操作,导致被感染计算机成为网络僵尸,给用户带来极大的损失。另外,“Trojan/Delf”变种czo还具有躲避某些防火墙监控的功能,大大降低了被感染计算机上的安全性。
◆“密码盗窃器
接着,病毒修改系统注册表,将自己的相关数据写入启动项,实现开机自启动。如果顺利运行起来,它就使用 Timer 控件,监视窗口程序的运行,取得所有的窗口标题,判断其中是否有用于用户登录的窗口。如有,则监视登录窗口的密码输入栏,然后利用SendMessage函数命令,获取这些密码栏中的数据。
顺便提及,病毒作者没有给此病毒设置判断外部按键事件的功能,它就无法记录用户的键盘输入,但作为弥补这一功能的缺失,它一旦成功开始运行就不会停止,直到被清除。由于是对全部的密码输入栏下手,包括QQ、MSN在内的许多即时通讯工具和机密文件都会遭受威胁。
◆“MSN跳虫55808” 病毒进入系统后,在系统盘%WINDOWS%\system32\目录下释放出病毒文件rmbsvc.exe。随后,它修改系统注册表,将自己加入启动项,实现开机自动运行。
当运行起来,病毒会与木马种植者指定的远程服务器建立通信,当收到“确认攻击”的返回消息后,就从http://www.n**au.dk/m**ia/这个地址下载msn对话信息到IE浏览器的临时目录,然后根据对话信息里的地址,从http://www.stu**egroep***selen.nl/components这个地址下载自己的完整EXE格式程序,随机命名后存放到%WINDOWS%\Temp\,即IE浏览器的临时目录下。
接下来,病毒就搜索用户电脑中的MSN即时通讯工具,读取用户的好友列表,将压缩为ZIP格式的病毒包发送出去,实现更大规模的传染。
◆“间谍虫”该病毒为木马类,病毒运行后复制自身到 %system32%目录,并重命名为Winsuper.exe,衍生病毒文件Winsuper.dat,并删除自身。创建服务,并以服务的方式达到随机启动的目的。查找IEXPLORER.EXE进程信息,将Winsuper.dat插入到IEXPLORER.EXE进程中。主动连接网络,下载相关病毒文件。该病毒通过恶意网站、其它恶意代码下载传播。除以上常规病毒行为外,还具有智能收集用户网络行为功能,例如,用户平时的网络习惯等,当收集信息成功后回传到服务器。该病毒非法商业目的比较重。
◆“木马下载器”病毒运行后衍生uhvcrwy.exe,jidpewy.exe,cjlguqc.exe三个主要文件,并将其属性设置为系统只读隐藏。将系统文件verclsid.exe重命名为verclsids.exe,以使其不能被调用。利用进程互锁来保护自身不被删除;提升自身权限进行内存遍历,然后通过匹配内置关键字列表上的信息来关闭运行中的安全相关进程;破坏瑞星开机杀毒文件;弹出宣传广告网页;且内置升级信息以用来更新自身。调用系统net.exe,以命令行的形式结束服务wscsvc、helpsvc、wuauserv、SharedAccess。添加映像劫持项114项,使被劫持的杀毒软件与安全工具无法运行,且激发病毒文件uhvcrwy.exe执行。该病毒还会下载大量的其它病毒,这个功能属于“木马群”中的下载者角色,下载到用户电脑后自动运行,从而盗取病毒制造者感兴趣的各种信息。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、安天的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸和安天为51CTO安全频道提供病毒信息。
【相关文章】
相关文章
