【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“露萨”变种ar、“代理木马”变种hw、“感染型下载器4096”、“传奇2盗号木马65536”、“ddos后门”和“AV劫杀者”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“露萨”变种ar是“露萨”木马家族的最新成员之一,采用Delphi语言编写,并经过加壳处理。“露萨”变种ar运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重命名为“vistaAA.exe”,自我复制到“%SystemRoot%\system32\config\systemprofile\”目录下,重命名为“vistaAA.exe”。修改注册表,实现“露萨”变种ar开机自动运行。启动IE浏览器程序(IEXPLORE.EXE)并将病毒代码注入其中运行,隐藏自我,躲避某些安全软件的查杀。在被感染计算机系统的后台秘密监视正在运行的进程名和活动的窗口标题,一旦发现某些安全软件程序正在运行,马上强行将其关闭。可能会破坏注册表,致使用户无法运行资源管理器以及注册表编辑器等程序。在被感染计算机系统的后台连接骇客指定站点,获取恶意程序的下载地址列表并下载所有恶意程序。其中,所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等,给用户带来不同程度的损失。另外,“露萨”变种ar执行安装程序完毕后会将自身属性设置为“系统隐藏”以更好地隐藏自我。
◆“代理木马”变种hw是“代理木马”木马下载器家族的最新成员之一,采用javascript脚本语言编写,并且经过加密处理,利用“联众世界”中“PluginCn18类ActiveX栈溢出漏洞”传播其它病毒。“代理木马”变种hw一般内嵌在正常网页中,如果用户计算机没有及时升级安装“联众世界”相应的漏洞补丁,那么当用户使用浏览器访问带有“代理木马”变种hw的恶意网页时,就会在当前用户计算机的后台连接骇客指定站点,下载大量恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能为是网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
◆“感染型下载器4096” 这个下载器具有较强的传播能力。它可以感染正常的EXE格式文件,利用它们被复制的机会来感染其它电脑。
它在进入用户电脑后,就搜索所有的EXE格式文件,把自己的代码写入到这些文件中。当用户运行这些文件时,病毒就能运行起来。它会先与正常文件脱离,然后调用正常文件运行,这样一来,就好像什么事都没发生过,从而麻痹用户。
接着,病毒遍历当前进程,找到桌面进程文件explorer.exe,注入其中,实现隐蔽运行。它悄悄连接病毒作者指定的远程地址http://61.1*1.*7.71,下载一个木马文件,将其命名为Temp.exe,存放到系统盘%WINDOWS%目录中运行,引发更多其它破坏。
◆“传奇2盗号木马65536” 这个盗号木马针对的是《传奇2》的帐号和密码。它可以利用捆绑文件和下载器帮助的方式传播,当进入用户系统后,就会释放出病毒文件。
释放出病毒文件kcomx32.dll和kcomx32.exe,其中kcomx32.exe是病毒主文件,它的相关数据会被写入系统注册表,帮助病毒实现开机自启动。而kcomx32.dll则会被用来执行盗号工作。
当病毒运行起来后,它就会搜索游戏的进程,然后注入其中,通过读取游戏进程内存的方式来获得帐号和密码,然后用网页提交的方式将它们发送到http://www.*******.cn/xintiancq/post.asp这个由病毒作者指定的远程地址。给用户造成虚拟财产的损失。
◆“ddos后门”该病毒为远程控制DDOS后门类,病毒运行后复制自身并衍生r5tyg.dll到%System32%目录下,创建注册表病毒服务,运行之后调用CMD.EXE命令删除自身,创建病毒进程,开启一个iexplorer.exe进程将病毒DLL文件注入到此进程中,自动连接到后门种植者的计算机,等待接收远程发送指令,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp等恶意行为,此病毒会导致中毒的用户网络严重堵塞,可能无法正常浏览网页。
◆“AV劫杀者” 该病毒为蠕虫病毒,病毒运行后,获取本地时间,病毒通过调用Process32Next函数遍历进程搜索"AVP.EXE"安全软件进程,如果存在则把系统时间修改成2001年5月, 目的使卡巴主动失效,创建注册表病毒服务项、映像劫持多款安全软件,目的使系统安全性降低,查找svchost.exe进程,通过GetProcessMemory函数读取内存空间,查到该进程后申请内存空间并创建进程,连接网络下载大量恶意文件并运行,给用户清除病毒带来极大的不便。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、安天的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸和安天为51CTO安全频道提供病毒信息。
【相关文章】
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · Apache技术专题 · 三层交换技术专题 · SQL Server入门到精通 |
· Apache技术专题 · 国际文档格式标准开战 · 路由器设置与口令恢复 · 打造安全服务器 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 · 了解统一威胁管理(UTM).. |
|||
|
||||
| · iSCSI应用与发展 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · iSCSI应用与发展 · 三层交换技术专题 · Apache技术专题 |
· RAID——磁盘阵列基础 · 企业数据恢复指南 · 路由器设置与口令恢复 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · 反垃圾邮件技术应用 · 访问控制列表(ACL)介绍 · PHP开发应用手册 |
|||
