【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“沃忒客”变种d、“ARP杀手”变种b、“桌面潜伏下载者95744”和“Win32/Cutwail.DU”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“沃忒客”变种d是“沃忒客”蠕虫家族的成员之一,采用高级语言编写,并经过加壳保护处理,文件图标伪装成RAR自解压软件的图标。“沃忒客”变种d运行后,在被感染计算机系统“%SystemRoot%\system32\”目录释放一个恶意程序“windows.ext”。感染系统文件“spoolsv.exe”,向其写入可执行代码,实现“沃忒客”变种d开机自启。在被感染计算机系统的根目录下释放一个恶意驱动文件“zzz.sys”。删除被感染计算机系统中的“QQDoctorMain.exe”和“QQDoctor.exe”(QQ医生程序文件),达到自我保护的目的。关闭某些安全软件,防止被查杀。在被感染计算机系统的后台调用IE浏览器进程,利用系统IE进程连接骇客指定远程服务器站点“http://www.*zfw*.c*/Config.txt”,获取其它恶意程序的下载地址列表,然后下载列表中的所有恶意程序,并自动调用安装运行。其中,所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。在所有盘符根目录下创建“autorun.inf”文件和蠕虫主程序文件,达到双击盘符启动“沃忒客”变种d运行的目的,具有利用U盘、移动硬盘等存储设备进行自我传播的功能。另外,“沃忒客”变种d在运行时,可能会在后台感染用户计算机系统中的EXE可执行文件和网页文件等。
◆“ARP杀手”变种b是“ARP杀手”木马家族的最新成员之一,该木马是一个恶意的磁盘过滤驱动程序,采用C语言编写,一般以系统服务的方式来运行。当“ARP杀手”变种b被安装启动后,病毒主程序会利用“ARP杀手”变种b去破坏被感染计算机磁盘中的系统文件,绕过“还原保护系统”,破坏被感染计算机真实磁盘中系统文件的功能,使用户防不胜防。“ARP杀手”变种b属于恶意程序集合中的一个功能模块,伴随着该木马程序模块还会有很多其它恶意程序模块一起安装到了被感染计算机的系统中。一旦用户计算机感染了该类病毒,那么很难彻底清除干净,给被感染计算机系统的用户带来不同程度的损失。
◆“桌面潜伏下载者95744” 与大部分在AV终结者之后诞生的下载器一样,毒霸反病毒工程师此次捕获的这个病毒下载器也具有一定的对抗安全软件能力。它进入系统后,立即检测进程列表是否存在“贝壳磁盘保护系统”的进程BKPCLIENT.EXE和MENU.EXE,若有则将它们强行结束。
接着,病毒复制%WINDOWS%目录下的系统桌面进程文件explorer.exe到%WINDOWS%\System32\目录下,并往原始的explorer.exe里写入自己的病毒代码,再将其复制到%WINDOWS%目录下,更名为svchost.exe。
完成以上步骤后,病毒就启动这个svchost.exe文件,利用它来调用正常的explorer.exe,实现隐蔽的运行。如果成功运行起来,它就能够连接病毒作者指定的地址,下载病毒文件列表,再根据列表里的地址去下载更多其它病毒文件运行,引发更大的破坏。
同时,该病毒具有自我更新和自我删除的功能,它会自动下载更新配置文件,并在运行完成后删除自己的原始文件,以免用户发现电脑中出现多余的东西。
◆Win32/Cutwail.DU是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。Cutwail运行时生成%Windows%\System32\main.sys文件。
病毒危害:
下载并运行任意文件;
发送大量的邮件;
Rootkit 功能。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰为51CTO安全频道提供病毒信息。
【相关文章】
|
· 网络安全最大敌人间谍.. · 关于防止员工泄露公司.. · 公共计算机安全保护之.. · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. · J0ker的CISSP之路:系.. |
· 安全报告称企业员工“.. · 安全集成与简单管理 全.. · 我们不再沉默 给入侵黑.. · 趋势发现木马后为什么.. · 病毒杀不死的原因分析.. · 玩联众游戏的危险了 小.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · Apache技术专题 · 中间件应用技术专题 · 三层交换技术专题 |
· SQL Server入门到精通 · Apache技术专题 · 国际文档格式标准开战 · 路由器设置与口令恢复 · 打造安全服务器 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 |
|||
|
||||
| · iSCSI应用与发展 · 中间件应用技术专题 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · iSCSI应用与发展 · 三层交换技术专题 |
· Apache技术专题 · 企业数据恢复指南 · RAID——磁盘阵列基础 · 路由器设置与口令恢复 · SOA 面向服务架构 · ADSL应用面面俱到 · ADSL应用面面俱到 · 反垃圾邮件技术应用 |
|||
