【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在今后3天的病毒中“代理木马”变种hr、“阿麦特”变种eju、“圈蛀”变种c、“传奇窃贼”变种gwk 、“摩登王”变种k和“卡其虫”变种a都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“代理木马”变种hr是“代理木马”木马家族的最新成员之一,采用javascript脚本语言编写,并且代码经过加密处理,利用微软MS-06014漏洞传播其它病毒。“代理木马”变种hr一般内嵌在正常网页中,如果用户计算机没有及时升级修补Windows相应程序模块的漏洞补丁,那么当用户使用浏览器访问带有“代理木马”变种hr的恶意网页时,就会在当前用户计算机的后台连接骇客指定的远程服务器站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、有害程序、后门等,给用户带来不同程度的损失。
◆“阿麦特”变种eju是“阿麦特”木马家族的最新成员之一,采用VC++ 6.0编写,并且经过加壳保护处理。“阿麦特”变种eju运行后,在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意DLL组件文件“midimapwl.dll”和一个配置文件。将“midimapwl.dll”插入到被感染计算机中的某些系统进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来极大的损失。另外,“阿麦特”变种eju还具有躲避防火墙监控的功能,大大降低了被感染计算机上的安全性。
◆“圈蛀”变种c是“圈蛀”木马家族的最新成员之一,采用汇编语言编写,并经过加壳保护处理。“圈蛀”变种c运行后,在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放一个恶意的驱动程序文件“qandr.sys”。将“qandr.sys”注册为系统服务,实现木马开机自动运行。利用Rootkit技术,采用“SSDT HOOK”技术挂接了系统中的“NtEnumerateKey”和“NtOpenKey”API函数,采用“FSD inline HOOK”技术挂接了系统文件过滤驱动中的“IRP_MJ_DIRECTORY_CONTROL”请求,隐藏自我,防止被查杀。“圈蛀”变种c可能是一个驱动级的后门程序,会给被感染计算机用户带来潜在的危险,同时会带去不同程度的损失。另外,“圈蛀”变种c会在系统临时文件夹下创建一个批处理程序文件,当恶意驱动程序文件“qandr.sys”安装完毕后调用这个批处理程序实现自我删除。
◆“传奇窃贼”变种gwk是“传奇窃贼”木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“传奇窃贼”变种gwk运行后,自我插入到被感染计算机中的某些系统进程内加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取《传奇世界》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使《传奇世界》游戏玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“传奇窃贼”变种gwk会强行删除系统中的HOSTS文件,防止用户把该木马的收信地址加入到具有“域名映像劫持”功能的HOSTS文件中,以便正常接收到盗取的玩家帐号等信息。
◆“摩登王”变种k是“摩登王”木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“摩登王”变种k运行后,自我插入到被感染计算机中的某些系统进程内加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“摩登王”变种k还具有躲避某些防火墙监控的功能,大大降低了被感染计算机上的安全性。
◆“卡其虫”变种a是“卡其虫”木马家族的TrojanDownloader.JS.Cutqq.a“卡其虫”变种a是木马病毒家族的最新成员之一,采用javascript脚本语言编写,并且经过加密处理。“卡其虫”变种a是一个利用“暴风影音II”媒体播放器漏洞传播其它病毒的木马,一般内嵌在正常网页中。如果用户计算机没有及时升级修补“暴风影音II”媒体播放器相应的漏洞补丁,那么当用户使用浏览器访问带有“卡其虫”变种a的恶意网页时,就会在用户计算机的后台连接骇客指定的远程服务器站点,下载多个恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、流氓广告、后门、木马下载器等,给用户带来不同程度的损失。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民的病毒库已更新,并能查杀上述病毒。感谢江民科技为51CTO安全频道提供病毒信息。
【相关文章】
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · Apache技术专题 · 三层交换技术专题 · SQL Server入门到精通 · Apache技术专题 |
· 国际文档格式标准开战 · 路由器设置与口令恢复 · 打造安全服务器 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 · 了解统一威胁管理(UTM).. · 专题:AIX操作系统管理.. |
|||
|
||||
| · iSCSI应用与发展 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · iSCSI应用与发展 · 三层交换技术专题 · Apache技术专题 |
· 企业数据恢复指南 · 路由器设置与口令恢复 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · 反垃圾邮件技术应用 · 访问控制列表(ACL)介绍 · PHP开发应用手册 · 专题:AIX操作系统管理.. |
|||
