【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“机器狗”变种b、“QQ大盗”变种dbp、“u盘寄生虫”、“疯狂下载者”和“Win32/Mosfin.Y”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“机器狗”变种b是“机器狗”木马家族的最新成员之一,采用VC++ 6.0编写, 并经过加壳保护处理。“机器狗”变种b是被木马覆盖破坏后的系统桌面“explorer.exe”程序,保存路径为“%SystemRoot%\explorer.exe”。在被感染计算机系统的后台调用系统“%SystemRoot%\system32\dllcache\explorer.exe”目录下的真实系统桌面“explorer.exe”程序,然后在被感染计算机系统的后台连接骇客指定站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。
◆“QQ大盗”变种dbp是“QQ大盗”木马家族的最新成员之一,采用Delphi语言编写, 并经过加壳保护处理。“QQ大盗”变种dbp运行后,自我插入到被感染计算机系统的“explorer.exe”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动
运行。在被感染计算机系统的后台删除用户计算机中的腾讯QQ医生程序“qqdoctor.exe”,盗取用户的QQ帐号、QQ密码、会员信息、IP地址、IP所属区域等信息,并在后台将这些信息发送到骇客指定的远程服务器站点上或邮箱里。在被感染计算机系统的后台连接骇客指定远程服务器站点,下载一个木马下载器并在被感染计算机上自动调用执行,给用户带来极大的损失。
◆“u盘寄生虫”病毒运行后在磁盘驱动器根目录下释放pagefile.exe和AUTORUN.INF文件,使得在双击打开磁盘时病毒自动运行,可以通过其他移动存储介质进行传播。并在当前系统目录下衍生大量文件。修改注册表,在初始程序添加dll文件,以此达到随系统启动的目的,删除安全模式,设置注册表使隐藏文件无法显示。病毒运行时屏蔽多种防病毒软件有江民、360、磁碟机专杀、DiskGen专杀、费尔、微点等。病毒完全运行后会在系统进程中插入文件与之自己的两个进程文件形成互相保护,并到指定网站地址下载病毒,并自动打开网页。该病毒可以过多家兄弟厂商的反病毒软件,并可以下载大量的病毒文件。
◆“疯狂下载者”该病毒为下载者木马,病毒运行后释放文件到C盘Documents and Settings\All Users\「开始」菜单\程序\启动下,以此开机启动的目的。并将自身文件删除。映像劫持杀软360、McAfee、卡巴斯基等多个杀毒软件的运行。自动连接网络到指定站点下载病毒文件。下载病毒数目多大26个病毒文件,可以瞬间使用户机器崩溃重新启动,该病毒只要通过网络挂马进行传播。
◆Win32/Mosfin.Y是一种特洛伊病毒,能够通过修改系统设置来降低系统安全性,下载并运行其它的文件。特洛伊还会在被感染机器上掩饰病毒的存在。
运行时,Win32/Mosfin.Y生成以下文件,文件属性为只读,隐藏,系统属性:
%Windows%\Help\ADSAL.CHM
%Program Files Common%\SYSTEM\<8 random characters>.dll
%Program Files Common%\SYSTEM\<8 random characters>.dat
Mosfin.Y生成以下注册表键值:
HKCR\CLSID\<Random Class ID>
HKCR\CLSID\<Random Class ID>\(default) = ""
HKCR\CLSID\<Random Class ID>\InProcServer32
HKCR\CLSID\<Random Class ID>\InProcServer32\(Default) = "%Program Files Common%\SYSTEM\<8 random characters>.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\<Random Class ID>
病毒危害:
停止进程;
Win32/Mosfin.Y会使很多与安全相关的软件的服务失效;
删除注册表键值;
重命名文件;
使安全模式失效;
下载并运行其它文件。
建议:
不要随意运行exe文件;
设置强壮的管理员帐号。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、冠群金辰和安天为51CTO安全频道提供病毒信息。
【相关文章】
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · VPN技术 · SQL Server 2008/2005.. · 子网掩码教程 · SQL Server 2008/2005.. · RAID——磁盘阵列基础 · 中间件应用技术专题 · 深入了解PGP加密技术 · 病毒查杀专题 |
· VPN技术 · 国际文档格式标准开战 · SSL VPN详细知识 · Linux防火墙 · 打造安全服务器 · Sniffer安全技术从入门.. · 木马原理与防范 · ADSL应用面面俱到 |
|||
|
||||
| · SQL Server 2008/2005.. · 中间件应用技术专题 · SQL Server 2008/2005.. · 子网掩码教程 · RAID——磁盘阵列基础 · 身份认证技术 · 病毒查杀专题 · 清除流氓软件——51CTO.. |
· SSL VPN详细知识 · Sniffer安全技术从入门.. · VPN技术 · 了解统一威胁管理(UTM).. · 网络钓鱼 · ADSL应用面面俱到 · ADSL应用面面俱到 · 子网掩码教程 |
|||
