【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在今后3日的病毒中“金盾”变种mu、“灰鸽子”变种rvh、“Real蛀虫”变种ab、“哲拉蒂”变种bmr、“假钩子”变种km和“玛格尼亚”变种chr都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“金盾”变种mu是“金盾”木马家族的最新成员之一,由其它病毒体释放出来的DLL病毒组件,采用高级语言编写,并经过加壳保护处理,一般会被注入到某些进程中运行以隐藏自我,防止被查杀。“金盾”变种mu运行后,检测自身是否运行于“explorer.exe”进程中,如果是则进行恶意操作。自我注册为浏览器辅助对象(BHO),实现木马随IE浏览器的启动而自动加载运行。在被感染计算机后台秘密监视系统的IE浏览器窗口,通过记录用户键击和自动读取分析网页代码提交表单的方式盗取某个在线交易网站会员的帐户信息(用户名、用户密码等),并且会将窃取到的这些机密信息发送到骇客指定的远程服务器站点上,给网上交易用户带来极大的损失。另外,“金盾”变种mu还会将自身的版权信息伪装成“Microsoft”的版权信息,防止被用户发现。
◆“灰鸽子”变种rvh是“灰鸽子”后门家族的最新成员之一,采用Visual C++ 6.0编写,并经过加壳保护处理。“灰鸽子”变种rvh运行后,自我复制到被感染计算机系统中的“%SystemRoot%\system32\”目录下,并重新命名为“RacMondY.exe”,文件属性设置为系统、隐藏。自我注册为系统服务,并以服务的方式在被感染计算机系统的后台运行,实现“灰鸽子”变种rvh开机自动运行。修改自身进程的“PEB”结构表,把自己伪装成系统“svchost.exe”进程,连接网络进行秘密通信,以便躲避某些防火墙的监控。连接骇客指定的远程服务器站点,获取被感染计算机上真实的地址。骇客可通过“灰鸽子”变种rvh远程完全控制被感染的计算机,窃取用户计算机里所有的机密信息,致使被感染的计算机成为网络僵尸,严重威胁用户私密信息安全。另外,“灰鸽子”变种rvh不仅具有自升级功能,而且执行完毕后会自我删除。
◆“Real蛀虫”变种ab是“Real蛀虫”脚本病毒家族的最新成员之一,采用javascript脚本语言编写,并且经过加密处理,利用Real Player媒体播放器中的漏洞传播其它病毒。“Real蛀虫”变种ab一般内嵌在正常网页中,如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁,那么当用户使用浏览器访问带有“Real蛀虫”变种ab的恶意网页时,就会在当前用户计算机的后台连接骇客指定站点,下载大量恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能为是网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
◆“哲拉蒂”变种bmr是“哲拉蒂”网络蠕虫家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“哲拉蒂”变种bmr运行后,自我复制到被感染计算机系统的“%SystemRoot%\”目录下,重命名为“herjek.exe”,并在相同目录下创建病毒的配置信息文件“herjek.config”。修改注册表,实现蠕虫开机自动运行。从被感染的计算机上搜索有效的邮箱地址,利用被感染的计算机群发带毒邮件。在被感染计算机的后台连接骇客指定站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。 另外,“哲拉蒂”变种bmr还可以在任意端口号开启后门,连接骇客指定站点,侦听骇客指令,骇客可通过“哲拉蒂”变种bmr远程控制被感染计算机系统,进行恶意操作。
◆“假钩子”变种km是“假钩子”木马家族的最新成员之一,采用高级语言编写,并经过加壳处理。“假钩子”变种km是由其它病毒体释放出的DLL病毒组件,一般被注册为浏览器辅助插件(BHO),随IE浏览器启动而加载运行。“假钩子”变种km运行后,提升自身权限,强行关闭某些安全软件,大大降低了被感染计算机上的安全性。不定时弹出广告窗口,影响用户的正常使用。广告窗口可能带有谎报系统漏洞的信息,欺骗用户购买指定的“修复软件”,而“修复软件”很可能是会破坏计算机系统的恶意程序。在被感染计算机系统的后台连接骇客指定站点,获取恶意程序的下载地址列表并下载所有的恶意程序。其中,所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等,给被感染计算机用户带来不同程度的损失。另外,“假钩子”变种km还会收集用户计算机的系统类型、用户名、浏览器类型等基本信息,并将收集到的有效信息发送到骇客指定的远程服务器上,给用户带来损失。
◆“玛格尼亚”变种chr是“玛格尼亚”木马家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“玛格尼亚”变种chr运行后,在“%SystemRoot%\help\”目录下释放“F3C74E3FA248.dll”组件。修改注册表,实现木马开机自动运行。采用HOOK技术和内存截取技术在被感染计算机的后台监视用户的键盘和鼠标操作,盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、游戏区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“玛格尼亚”变种chr还会下载更多的恶意程序、网游木马等,给网络游戏玩家带来非常大的损失。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。
【相关文章】
相关文章
