扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、明日高危病毒简介及中毒现象描述:
◆“BHO劫持者”变种q是“BHO劫持者”木马家族的最新成员之一,采用VC++编写,并经过添加保护壳处理。“BHO劫持者”变种q运行后,自我复制到被感染计算机系统的“%SystemRoot%system32”目录下,重命名为“cftmon.exe”,并在相同目录下释放病毒组件“mshyta16.dll”。修改注册表,实现木马开机自动运行。在后台秘密监视浏览器窗口,一旦发现用户登陆某些在线交易站点,便显示虚假登陆窗口,诱导用户输入在线交易的账号、密码,或者重新打开一个IE浏览器窗口,以安全为由诱导用户输入账号、信用卡密码等重要信息,窃取用户输入的机密信息并发送给骇客,从而给用户带来非常大的损失。另外,“BHO劫持者”变种q还会连接骇客指定站点,下载恶意程序并在被感染计算机上自动运行。其中,所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
◆“威金”变种azy是“威金”蠕虫家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“威金”变种azy是由“威金”病毒主体释放出的病毒组件,用于插入“explorer.exe”、“iexplore.exe”等进程实现病毒主要功能以及隐藏自我,躲避查杀。查找并强行关闭大量安全软件,阻止某些安全软件的运行,大大地降低了被感染计算机的安全性。利用密码字典破解弱密码,访问网络共享文件夹,感染网络共享文件夹下的*.exe文件,实现网络共享传播。在被感染计算机的后台下载大量恶意软件并自动运行。这些恶意软件可窃取《魔兽世界》、《征途》等多款网络游戏木马,造成玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。
◆“AV终结者变种106496”AV终结者又一次成为了毒霸反病毒工程师们注意的目标。在近日统计的病毒传播趋势资料中,AV终结者的一个变种显得十分活跃,这也许与有人故意进行传播有关。
该病毒进入系统后执行的操作,与以前的版本基本无异,都是先释放出病毒文件,然后修改系统注册表实现自动启动,并紧接着执行映象劫持,将用户系统中安装的安全软件弄瘫痪,以便于病毒以后的破坏操作。病毒释放出的文件wuauc1t.exe和sssurl.dll会被伪装成系统文件,隐藏在%WINDOWS%根目录下。
为防止用户进行手动查杀,病毒修改注册表中的相关数据,使中毒电脑无法显示隐藏的文件和系统文件,这样一来,当病毒把自己伪装成系统文件并设置隐藏模式后,用户就无法找到它们。同时,病毒还会禁止用户进入安全模式和打开注册表编辑器,以便长久地在电脑中驻留下去。并且,病毒会在每一个磁盘分区的根目录下生成一个explorer.exe文件和AUTORUN.INF文件,当用户在中毒电脑上使用U盘等移动存储设备时,病毒就会趁机将其感染。
最后,病注入系统桌面进程和其它非系统进程中,隐蔽地运行自己,从病毒作者指定的地址下载大量盗号木马,将用户系统中有价值的信息盗窃一空,引发无法估计的损失。
◆“恶心莲蓬下载器”这个病毒是一个木马下载器的变种。它在系统中运行起来后,会释放出数量惊人的病毒文件,这些病毒文件都集中在系统盘中,其中大部分位于%windows%system32目录下。如果用户看到那长长的文件列表,并饱尝该毒的伤害,会觉得像看了近来网上流行的“莲蓬图”一般恶心。
在释放文件的同时,病毒会感染硬盘中全部的的.exe、.htm、html文件,并删除%windows%system32目录下的系统补丁文件verclsid.exe,让自己接下来的破坏更顺利。接着,病毒替换掉%windows%目录下的系统桌面进程explorer.exe。
在病毒释放出的若干文件中,%windows%system32目录下的75132.dat和%windows%system32目录下的urjuujdw.hew,值得注意。这两个进程相互配合,指挥%windows%system32目录下的msosdohs00.dll和%windows%system32目录下的msosdohs01.dll插入系统核心进程、explorer.exe进程以及包括安全软件在内的所有应用程序进程。执行破坏还原保护、关闭防火墙、破坏系统监视软件、阻止用户进入桌面、安装恶意插件等动作。
最后,病毒链接病毒作者指定的远程地址,下载27个病毒文件。其中包括由0至25的数字命名的exe文件,以及一个名为oko.exe的文件。经毒霸反病毒工程师的分析,这些文件都是盗号木马,如果成功进入电脑,将引起无法估计的更大损失。
此外,病毒还在硬盘各个分区的根目录下生成AUTO病毒MSDOS.BAT和autorun.inf,当用户在中毒电脑上使用移动存储设备时,就传染上去,实现更大规模的传播。如果用户运行MSDOS.BAT,病毒就会悄悄访问病毒作者指定的地址http://58.*3.1*8.37,下载大量病毒。
◆“红色贝壳”该病毒属木马类,病毒运行后检测进程列表是否存在贝壳磁盘保护系统的进程BKPCLIENT.EXE、MENU.EXE,若有则结束;复制文件%Windir%explorer.exe文件到%System32%目录下,关闭资源管理器进程explorer.exe后启动%System32%explorer.exe;从文件头部开始对%Windir%explorer.exe文件写入病毒代码497664个字节,重新启动机器后被感染的文件%Windir%explorer.exe将复制自身到%Windir%目录下,更名为svchost.exe,由svchost.exe文件调用%System32%explorer.exe;连接网络下载病毒文件列表,并根据病毒列表下载病毒文件并运行,下载病毒更新配置文件。
◆“qq大盗”该病毒属盗QQ帐号木马。病毒运行后复制自身到%Program Files%InternetExplorerPLUGINS下,重命名为WinSys8k.Sys与Sys_Win7s.Jmp,使其属性设置为隐藏,使用户不易发现,添加HOOK启动项,添加注册表启动项,以达到开机自启动目的,关闭自动更新,建消息钩子,使多个进程加载释放的病毒文件WinSys8k.Sys,查找 Tencent_QQBar 和 Tencent_QQToolBar这两个窗口,获得QQ用户的帐号信息并发送到指定邮箱。
◆Win32.SillyDl.EBM是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时,通过Internet Explorer浏览器安装的,其它的特洛伊下载器或程序,或者是用户选择安装的软件包。
Win32/SillyDl变体可能下载其它的特洛伊病毒,或者没有病毒的程序例如广告软件。同时,它会尝试下载更新。这种病毒通常利用HTTP下载。
建议:
不要随意运行EXE文件;
系统设置强壮的管理员口令。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰和安天为51CTO安全频道提供病毒信息。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者