【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“系统杀手”变种a、“IE大盗”变种bw、“劫匪下载器32256”、“伪装杀手下载器18944”和“Win32/Cbeplay.E”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“系统杀手”变种a是“系统杀手”木马家族的最新成员之一,是一个被其它恶意程序注入到系统“svchost.exe”进程内存空间中的木马程序,采用VC++ 6.0编写,并经过加壳处理。“系统杀手”变种a运行后,自动检测自身进程是否被其它调试软件所调试分析,一旦
发现便自动关闭退出。创建“tls”事件,创建“\\.\AttObject1”设备。强行将系统时间设置为2001年,导致某些安全软件杀毒和保护功能失效。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建病毒配置文件。在临时文件夹下释放3个恶意驱动文件,文件名随机生成,并将文件属性设置为隐藏。第1个驱动文件可还原系统“SSDT HOOK”,致使某些安全软件的防御和监控功能失效,从而达到躲避监控的目的;第2个和第3个驱动文件均可覆盖破坏系统桌面程序“explorer.exe”,把恶意可执行代码写入到系统桌面程序中,具有绕过“还原保护系统”,覆盖破坏被感染计算机真实磁盘中系统文件的功能,使用户防不胜防。遍历当前计算机系统中的进程列表,一旦发现与安全相关的进程,强
行将其关闭。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建批处理文件并调用运行,利用该批处理程序去关闭“系统防火墙”。修改注册表,利用进程映像劫持功能禁止指定的安全软件运行。在被感染计算机系统的后台连接骇客指定站点,下载更多的恶意程序并在被感染计算机上自动调用运行,给用户带来极大的损失。另外,“系统杀手”变种a不仅具有自升级的功能,而且具有自动网页挂马的功能。
◆“IE大盗”变种bw是“IE大盗”木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理,一般以DLL组件文件的形式存在,利用“BHO”劫持技术在被感染计算机系统中随IE浏览器的启动而加载运行。“IE大盗”变种bw运行后,在被感染计算机系统的后台利用HOOK和键盘记录等技术盗取用户在IE浏览器中输入的几乎所有机密信息资料(其中包括:用户名、密码、浏览的网址等),并在被感染计算机后台将窃取到的用户信息发送到骇客指定的远程服务器站点上,给用户带来不同程度的损失。
◆“劫匪下载器32256”在昨日统计到的最新病毒流行数据中,下载器再一次成为传播趋势较高的病毒,而且他们的运行方式也更加多样化。
此篇预警中的就是一个病毒下载器。毒霸反病毒工程师检测后发现,该毒可利用捆绑文件和网页挂马的方式进行传播,它在进入用户后,和其它的许多下载器一样,都是先释放出自身的病毒文件。它的文件分别为%WINDOWS%\system32\目录下的tyt.dll和%ProgramFiles%\Internet Explore\目录下的IEXPLORER.exe。
与大多数通过添加注册表启动项实现运行的病毒不同,这个病毒士通过映像劫持 Windows自动升级管理程序Wuauclt.exe 来达到开机自动运行之目的。当成功运行起来,病毒进程就会在后台连接病毒作者指定的地址http://7**69.com/ ,下载其它病毒文件到用户电脑中执行。
此外,毒霸反病毒工程师发现,该毒具有自我更新功能。它在下载病毒的同时,还会不断进行在线检测,更新自己为最新版本。
◆“伪装杀手下载器18944”这个病毒一旦进入用户的电脑,便会搜索所有的磁盘分区,查看是否有杀毒软件卡巴斯基的驱动文件klif.sys,如有,则立即修改系统时间为1981-01-12,让卡巴斯基失效。
接着,它在%WINDOWS%\system32\目录下释放出主文件Transfer Sebvice.exe,并修改系统注册表,将该文件的数据加入启动项,达到开机自启动之目的。此处需要注意一点,病毒为迷惑用户,会将自己伪装成“360安全设置”的项目。如果用户没有安装过该工具,却在系统注册表中发现这个数据,那就可能是中了此毒。
下一步,病毒会从病毒作者指定的网址http:/ /xxx.ad***5.com/txt071217,读取一份下载列表,根据列表中的地址去下载更多其它病毒,保存到 %WINDOWS%\system32\ 文件夹下运行。
最后,为扩大自己的传播范围,病毒在每个磁盘分区的根目录下生成AUTO文件 autorun.inf 和 Transfer Sebvice.exe ,只要用户双击含毒磁盘或在中毒电脑上使用U盘等移动存储器,病毒就会传染上去。
◆Win32/Cbeplay.E是一种特洛伊病毒,能够下载并运行任意文件。Win32/Cbeplay.E通常是作为垃圾邮件中的一个链接被送达,诱使用户点击这个链接来下载病毒。
病毒危害:
下载并运行任意文件。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。
【相关文章】
|
· VPN技术精要指南 · 安全报告称企业员工“.. · 安全集成与简单管理 全.. · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. · J0ker的CISSP之路:系.. |
· "流氓软件"PK正规软件 .. · 安全常识:黑客侦察目.. · 当心Cookie泄密 看网吧.. · 病毒扫描对运行 Window.. · 超级详细了解进程和病.. · 如何判断你的电脑是否.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · Apache技术专题 · 中间件应用技术专题 · 三层交换技术专题 |
· SQL Server入门到精通 · Apache技术专题 · 国际文档格式标准开战 · 路由器设置与口令恢复 · 打造安全服务器 · SOA 面向服务架构 · PHP开发应用手册 · 企业数据恢复指南 |
|||
|
||||
| · iSCSI应用与发展 · 中间件应用技术专题 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · iSCSI应用与发展 · 三层交换技术专题 |
· Apache技术专题 · RAID——磁盘阵列基础 · 企业数据恢复指南 · 路由器设置与口令恢复 · SOA 面向服务架构 · ADSL应用面面俱到 · ADSL应用面面俱到 · 反垃圾邮件技术应用 |
|||
