【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“千足虫”变种ay、“霸e族”变种bs和“Win32/Mallar”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“千足虫”变种ay是“千足虫”家族的最新成员之一,采用VC++ 6.0编写, 并经过加壳保护处理。“千足虫”变种ay运行后,在被感染计算机系统的“%SystemRoot%\system32\com\”目录下释放病毒组件文件“lsass.exe”、“smss.exe”、“netcfg.000”和“netcfg.dll”,还会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒组件文件“dnsq.dll”。利用驱动程序来恢复SSDT Hook,使某些安全软件的监控失效。强行关闭大部分杀毒软件和安全工具软件,大大降低了被感染计算机上的安全性。被感染计算机系统会经常出现死机或长时间卡住不动的现象。利用“ARP病毒”在局域网中进行自我传播。感染除系统盘外所有盘符下的可执行文件、网页文件、RAR和ZIP压缩包中的文件等(加密感染),感染后的程序图标变为16位的图标,图标变模糊,类似于马赛克。一旦发现与安全相关的窗口存在,强行将其关闭。在所有盘符下生成“autorun.inf”和病毒体,并且对这些文件进行实时检测保护,利用移动设备进行传播。破坏注册表,致使用户无法进入“安全模式”、无法查看隐藏的系统文件,致使注册表启动项失效。修改注册表,实现开启自动播放的功能。强行删除所有安全软件的关联注册表项,使其无法开启监控。利用进程守护技术,将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联,实现进程守护,一旦病毒文件被删除或被关闭,便马上生成并重新运行。以系统级权限运行,部分进程使用了进程保护技术。利用控制台命令来设置病毒程序文件的访问运行权限。利用了重启移动文件的技术,在用户重新启动计算机时把病毒主程序体移动到系统[启动]文件夹中,实现开机自启动。“千足虫”变种ay会在被感染计算机系统的后台访问骇客指定的广告站点,进而提升其访问量,刷网络排名等操作。另外,“千足虫”变种ay还可以自升级。
◆“霸e族”变种bs是“霸e族”木马家族的最新成员之一,采用Delphi语言编写,并经过加壳处理。“霸e族”变种bs运行后,自我复制到系统目录下或Windows目录下。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台秘密监视用户打开的窗口标题,一旦发现用户进行在线交易便记录用户的键盘操作和鼠标操作,窃取用户在网上进行在线交易的信息、个人注册信息等私密数据,并将窃取的用户信息发送到骇客指定的远程服务器上,给用户带来极大的损失。另外,“霸e族”变种bs还会从被保护的存储区记录网络和邮件帐户信息,给用户带来不同程度的损失。
◆Win32/Mallar是一族多形态的蠕虫病毒,病毒通过攻击多个系统漏洞进行传播。这种病毒的变体也比较多而且还在不断出现新的病毒变体。
Mallar病毒试图通过以下几种windows系统漏洞进行传播:
Microsoft Windows Server service buffer overflow vulnerability (MS06-040)
可以通过以下站点下载相应的系统补丁:
http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx
Microsoft Windows Plug and Play service buffer overflow vulnerability (MS05-039)
可以通过以下站点下载相应的系统补丁:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
Microsoft Windows LSASS buffer overflow vulnerability (MS04-011)
可以通过以下站点下载相应的系统补丁: http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
Microsoft Windows RPC malformed message buffer overflow vulnerability (MS03-026)
可以通过以下站点下载相应的系统补丁:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
Microsoft Windows ASN.1 library buffer overflow vulnerability (MS04-007)
可以通过以下站点下载相应的系统补丁:
http://www.microsoft.com/technet/security/bulletin/MS04-007.mspx
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、冠群金辰为51CTO安全频道提供病毒信息。
【相关文章】
|
· 防患于未然 九项不用花.. · 提高警惕 勿让僵尸蚕食.. · NAC安全访问控制 · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. · J0ker的CISSP之路:系.. |
· 如何安全运行从网上下.. · 安全专家浅谈面向业务.. · 双击电脑硬盘驱动器无.. · 卡巴把我的360主程序当.. · C/C++木马编程进阶与实.. · 【转载】病毒杀不掉的.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · iSCSI应用与发展 · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · 中间件应用技术专题 · SQL Server入门到精通 |
· 病毒查杀专题 · 国际文档格式标准开战 · Linux防火墙 · 路由器设置与口令恢复 · 打造安全服务器 · SOA 面向服务架构 · ADSL应用面面俱到 · 入侵防护系统(IPS)初探 |
|||
|
||||
| · iSCSI应用与发展 · 中间件应用技术专题 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · iSCSI应用与发展 · RAID——磁盘阵列基础 · 身份认证技术 |
· 病毒查杀专题 · 清除流氓软件——51CTO.. · 路由器设置与口令恢复 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · ADSL应用面面俱到 · ADSL应用面面俱到 · 反垃圾邮件技术应用 |
|||
