【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“盗窃者”和“疯狂下载者变种aijp”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“盗窃者”该病毒为问道游戏盗号木马类,病毒运行后判断病毒文件是否被注入到Explorer.exe,如没有则复制自身到%Windir%目录下,重命名为anistio.exE,添加注册表启动项,判断%System32目录下是否存在anistio.dll,如有则删除从新生病毒文件到该目录下,并将该病毒文件注入到Explorer.exe进程中,创建病毒互斥量,目的防止多次运行,Hook游戏进程asktao.mod进程截获用户名及密码,读取游戏配置文件config.ini获取账户信息发送作者指定的收信地址中。
◆“疯狂下载者变种aijp” 该病毒为下载者木马类,病毒运行后衍生ctfmon.exe到%Windir%目录下,测试是否能访问www.google.cn或www.baidu.com,如能访问则连接网络读取列表下载大量恶意文件,并调用ShellExecute函数打开该病毒文件,判断当前进程里是否存在BKPCLIENT.EXE(贝壳磁盘保护)进程,不存在写驱动穿以下还原及安全系统,GUARDFIELD.EXE(360还原保护器)、BARCLIENTVIEW.EXE(网维大师)、FRZSTATE2K.EXE(冰点还原精灵)、QZCLIENT.EXE(网吧系统防护程序),将%Windir%目录下的Explorer.exe复制到%System32%目录下,之后将Explorer.exe进程结束后加载%System32%目录下的Explorer.exe,并感染%Windir%目录下的Explorer.exe文件,该病毒调用IsDebuggerPresent检测反调试器,如发现反调试器则调用shutdown函数立即执行关闭计算机操作,病毒运行后创建emsf3.bat文件并调用其删除自身。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,安天的病毒库已更新,并能查杀上述病毒。感谢安天为51CTO安全频道提供病毒信息。
【相关文章】
相关文章
