扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:Arade 来源:51CTO 2008年4月2日
关键字: 360Safe
安全频道今日提醒您注意:在明天的病毒中“网银窃贼”变种hzt、“视频宝宝”变种dbk、“机器狗变种53248”、“万能木马下载器”、“秘密记录员”和“exe文件尾巴”都值得关注。
一、今日高危病毒简介及中毒现象描述:
◆“网银窃贼”变种hzt是“网银窃贼”木马家族的最新成员之一,采用VC++ 6.0编写,并经过加壳保护处理。“网银窃贼”变种hzt随着IE浏览器的启动而加载运行,监控用户在IE浏览器中所执行的一切操作。在被感染计算机系统的后台窃取用户登陆所有网站时使用的帐号、密码及网站地址等详细信息,并将这些信息保存到相应的记录文件中,定时发送到骇客指定的远程服务器站点上或邮箱里,给用户带来极大的损失。
◆“视频宝宝”变种dbk是“视频宝宝”木马家族的最新成员之一,采用VB语言编写,并经过加壳保护处理。“视频宝宝”变种dbk运行后,自我复制到被感染计算机系统的指定目录下。修改注册表,实现木马开机自动运行。在被感染计算机系统的各个盘符根目录下创建
“autorun.inf”文件和木马主程序文件,实现双击盘符启动“视频宝宝”变种dbk运行的目的。连接骇客指定的远程服务器站点,下载其它恶意程序并在被感染计算机上自动调用执行。在被感染计算机系统的后台连接指定的投票站点,增加指定站点的访问量或进行虚假投票等操作。另外,“视频宝宝”变种dbk不仅利用U盘、移动硬盘等移动设备进行传播,而且可以自升级。
◆“机器狗变种53248”病毒进入系统后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%\system32\目录下的winsrv32.dll,以及%WINDOWS%\system32\\drivers\目录下的ati32srv.sys。其中的ati32srv.sys特别值得注意,因为病毒会将它的相关数据写入注册表,恢复系统的SSDT表,这样就可能导致杀毒软件的“主动防御”和“自我保护”功能失效。
接着,病毒以极快的速度继续修改系统注册表,对大量的杀毒软件和安全辅助软件实施印象劫持,造成它们失效。对于那些不需经过注册表就能使用的绿色安全产品,病毒也采取监视系统进程的方式来阻止其运行。由于病毒的“黑名单”极为庞大,几乎目前所有的杀毒软件及安全辅助软件都会“牺牲”。
完成以上步骤后,病毒悄悄连接http://xxx.w**ala.info/c**hi/、ttp://xxx.f**liu001.info/c**hi/、ttp://a.x**yige.com/等多个由木马种植者指定的网址,获取最新的病毒下载列表,然后根据列表上的地址去下载大量其它木马至用户计算机运行,引发更多无法估计的系统安全问题。
◆“秘密记录员”病毒会在系统盘中释放出五个病毒文件,分别为%WINDOWS%目录下的mwinsys.ini、%WINDOWS%\system\目录下的AlxRes070826.exe、%WINDOWS%\system32\inf\目录下的scrsys070826.scr和scrsys16_070826.dll,以及%WINDOWS%\system32\目录下的winsys16_070826.dll和winsys32_070826.dll。另外,如果用户系统中有D盘,病毒会在D盘根目录下生成一个名为myplayer.com的病毒文件。
文件释放完毕后,病毒将自己的相关数据写入系统注册表启动项,让自己能随系统桌面进程Explorer.exe一起启动。如果能成功启动,病毒就会查找并关闭金山毒霸、卡巴斯基、360安全卫士等安全软件,并禁止任务管理器启动。
随后,病毒在系统中查找IE浏览器的进程iexplore.exe、腾讯TT浏览器的进程TTraveler.exe,以及遨游浏览器的进程maxthon.exe进程,如果有则创建远程线程注入其中。同时,它监视用户的QQ聊天信息,将其记录后保存记录到本地。最后,该病毒会打开系统后门,等待木马种植者(黑客)的远程连接。
如果黑客成功入侵用户系统,除能查看到用户QQ聊天记录外,还可以进行任何其想要的操作,这可能给用户带来无法估计的威胁和麻烦。
◆“万能木马下载器”该病毒目前十分猖獗,自身原有的破坏性外,原要下载大量其它病毒。该病毒运行后复制自身并覆盖系统文件userinit.exe。这样不但病毒每次随机启动,且使用户无法查觉该启动项已变成了加载病毒的启动项。病毒加载后将病毒ntfs.dll插入到系统打印服务进程spoolsv.exe中,以spoolsv.exe进程连接网络下载其它病毒。有如此的隐蔽连接网络方式外,还有关闭360安全卫士主程序进程360Safe.exe,上报模块进程360rpt.exe和ARP功能模块进程AntiArp.exe。以使360安全卫士检测不到此病毒信息。该病毒在下载其它病毒前,首先读取下载列表,然后依照下载列表进行文件下载。下载完成后下载的病毒文件在本机运行,会占用大量系统资源。下载的病毒达30个之多,且此文件列表和列表对应的病毒随时可以更新,这使同一下载器,每次下载的可能是不同的病毒。下载的病毒还能继续下载其它病毒程序,致使用户电脑一旦中此病毒后,随后会不断的下载病毒体运行。用户电脑中此病毒后常会出现机器死机,网络瘫痪等现象。用户在发现自己电脑过慢时,就一定要先检测是否已被此类病毒感染了。
◆“exe文件尾巴”病毒运行后会衍生病毒文件%System32%\Com\lsass.exe,%System32%\Com\smss.exe。在各个驱动器盘符下添加AUTORUN.INF启动文件,和pagefile.pif执行文件,在双击盘符时,病毒文件便会执行。最恶劣的病毒行为是该病毒会感染除系统盘符外的所有EXE文件,在EXE文件最后写入病毒代码。如想清除此病毒,必需将所有感染的EXE文件最后的病毒代码摘除,并且进行修复。可见该病毒的清除比一般的病毒要困难的多。用户如发现在%System32%\Com目录下如有lsass.exe与smss.exe两个文件存在,那么就一定要检测一下系统,是否被该“exe文件尾巴”感染。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、安天的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、和安天为51CTO安全频道提供病毒信息。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。