【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“QQ幻想盗号木马65697”、“伏特加感染下载器81920、“李代桃僵”和“疯狂下载者”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“QQ幻想盗号木马65697” 这是个具备一定对抗杀软能力的网游盗号木马。它在进入系统后,会立即抢先搜索卡巴斯基的警告窗口和瑞星的注册表监控提示窗口,防止卡巴和瑞星向用户报告系统异常。此后,它每隔1毫秒的时间,就重复一次搜索,确保卡巴和瑞星永远都无法向用户发出警告。
与此同时,该毒会在系统中释放出两个病毒文件,分别为%WINDOWS%目录下的病毒主文件mfchlp.exe,以及%WINDOWS%\system32\目录下负责盗号的mfchlp.dll。前者会被写入系统注册表,以实现开机自启动,而后者则负责注入系统桌面进程explorer.exe,查找网络游戏《QQ幻想》的进程。
Mfchlp.dll会试图通过全局监视程序,注入到所有进程中,通过读取它们的相关函数来找到《QQ幻想》的进程文件qqffo.exe,读写其内存,获取网络游戏账号和密码以及其它私人信息,然后通过网络收信空间发给木马作者,给用户造成虚拟财产的损失。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-onlinegamet-bd-65697-50557.html
◆“伏特加感染下载器81920” 这个盗号木马同样具备一定的对抗杀软能力。它进入系统后会先检测用户电脑里是否有杀毒软件“卡巴斯基”,如果有,便通过修改系统时间为1984年的办法,让依赖系统时间进行激活和升级的卡巴失效。在这个过程中,如果用户电脑中有其它软件也是要依赖系统时间的,那它们也同样会受到影响。
接着,病毒在系统盘根目录下释放出病毒文件avp.exe,在%Program Files%目录下释放出下载列表ver.txt,然后开始运行,根据列表中的地址去下载更多其它的病毒文件,以及获取最新的下载列表。此处需注意,这个由病毒释放出的avp.exe文件,与卡巴斯基的执行文件名称一样,具有一定的伪装性,但因为是出现在系统盘根目录下,就可以以此来识别它。
除了在本机上进行下载,该病毒还会感染中毒电脑上的全部EXE可执行文件,如果用户将它们拷贝到别的电脑上,病毒就可以实现扩散。当用户启动这些被感染的文件时,病毒就会启动,从病毒作者指定的远程服务器http://fff.t***kl.info/下载最新版本的自己和下载列表,然后循环以上的过程。
根据毒霸反病毒工程师的分析,该毒下载的其它病毒中,绝大部分是针对网络游戏以及用户隐私资料的盗号木马,如果该毒能在用户电脑里顺利运行,那么将引发无法估计的更大损失。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-delf-81920-50558.html
◆“李代桃僵”该病毒为木马,病毒运行后释放病毒到当前运行路径下创建1.inc文件,在系统目录下创建_uninsep.bat删除1.inc文件。并回写文件到系统盘符的All Users用户文件夹下启动中,目的是达到任意用户登陆系统运行病毒文件。映像劫持多种反病毒软件和系统监视软件。当释放的QQgame.exe文件随系统启动后会连接网络下载新的病毒文件,窃取用户信息。由于下载大量病毒文件,给病毒的清理带来了极大的不便。建议用户即使更新防病毒软件的病毒库,以防止病毒的入侵。改病毒有一定的潜伏期,建议用户定期为系统进行扫描,在病毒没有发作之前就进行防御。
◆“疯狂下载者”该病毒为蠕虫病毒,病毒运行后,获取本地时间,病毒通过调用Process32Next函数遍历进程搜索"AVP.EXE"安全软件进程,如果存在则把系统时间修改成2001年, 目的使卡巴主动失效,查找svchost.exe进程,通过GetProcessMemory读取内存空间,查到该进程后申请内存空间并创建进程,连接网络下载大量恶意文件;扫描用户所在网络,若发现存在默认共享或弱口令则传播自身。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,金山、安天的病毒库均已更新,并能查杀上述病毒。感谢金山毒霸、安天为51CTO安全频道提供病毒信息。
【相关文章】
|
· 安全常识:黑客侦察目.. · 当心Cookie泄密 看网吧.. · 专家观点:再谈统一的.. · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. · J0ker的CISSP之路:系.. |
· Rootkit技术之内核钩子.. · 步步为营:对抗间谍软件.. · 选择漏洞扫描解决方案.. · 病毒杀不掉怎么办啊~~.. · 攻击木马--远程控制软.. · 如何判断你的电脑是否.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · 中间件应用技术专题 · SQL Server入门到精通 · 国际文档格式标准开战 |
· 路由器设置与口令恢复 · Linux防火墙 · 打造安全服务器 · SOA 面向服务架构 · PHP开发应用手册 · ADSL应用面面俱到 · 入侵防护系统(IPS)初探 · 数据恢复指南 |
|||
|
||||
| · iSCSI应用与发展 · 中间件应用技术专题 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · iSCSI应用与发展 · RAID——磁盘阵列基础 · 数据恢复指南 |
· 路由器设置与口令恢复 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · ADSL应用面面俱到 · ADSL应用面面俱到 · PHP开发应用手册 · 中间件应用技术专题 · 交换机故障解决指南 |
|||
