扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、明日高危病毒简介及中毒现象描述:
◆“Real蛀虫”变种w是“Real蛀虫”脚本病毒家族的最新成员之一,采用javascript脚本语言编写,并且经过加密处理,利用Real Player媒体播放器中的漏洞传播其它病毒。“Real蛀虫”变种w一般内嵌在正常网页中,如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁,那么当用户使用浏览器访问带有“Real蛀虫”变种w的恶意网页时,就会在当前用户计算机的后台连接骇客指定站点,下载大量恶意程序并在被感染计算机上自动调用运行。所下载的恶意程序可能为是网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
◆“泡泡”变种ai是“泡泡”后门家族的最新成员之一,采用高级语言编写,并经过加壳处理。“泡泡”变种ai运行后,自我注入到被感染计算机系统的“iexplore.exe”和“winlogon.exe”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现后门开机自动运行。窃取被感染计算机系统中的配置信息(如MAC地址、操作系统版本、用户名等),并将窃取的这些信息发送到骇客指定的远程服务器站点上。躲避某些防火墙的监控;终止某些安全软件的服务,在被感染计算机系统的后台终止系统报错服务,大大降低被感染计算机上的安全性。另外,“泡泡”变种ai还可以自升级。
◆“热血江湖盗号者94304”病毒作者为提高病毒制作的效率,通常都会使用自动生成器。完全一样的一段病毒代码,只要稍微修改几个进程名称,就能得到多个病毒。我们在3月27日的病毒预警播报中,曾报道过一个英文名称与本篇预警中的病毒相同的“天龙笨贼”,它们两个很明显就是由同一个病毒生成器制作出来的同名变种。
这个木马通过悄悄记录用户输入数据的方式盗取网络游戏《热血江湖》密码。它用户系统中运行起来后,会通过查找窗口类名与窗口标题名的方法,找到《热血江湖》的游戏进程Client.exe,然后检验进程的命令行,确认是否真的为作案目标。如果确定,它就会立即关闭游戏进程。
大多数正在玩着游戏的用户,遇到这种情况,一定是马上重新登录游戏。但这样一来,就正好中了病毒作者的全套。他的目的就是趁用户再次登录时,记录下用户输入的帐号和密码。
为阻止安全软件查杀,病毒在进入电脑后会抢先关闭360安全卫士、QQ医生、killer_Gdwli32.exe专杀工具、AntiArp.exe防火墙等安全辅助软件,它的某些变种还会试图攻击毒霸,不过经检验,对毒霸无效。习惯手动查杀的用户,可在系统盘的%WINDOWS%system32目录下找到病毒文件xjxr.dll、xjxr.cfg,以及mseion.sys。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-gameshackt-gu-94304-50534.html
◆“大胃王盗号者57344”这个盗号木马的作案目标非常之广,所有在进程窗口中包含有“游戏”字样的网络游戏,都是它的作案对象,只要它能在用户电脑中顺利运行起来,便可以如同大胃王一般将用户电脑中的游戏帐号悉数吞吃。
病毒在进入系统后立即在系统盘中释放出两个病毒文件,分别为%WINDOWS%目录下的winform.exe和%WINDOWS% emp目录下的winform.dll。其中winform.exe是病毒的主文件,它的相关数据会被写入系统注册表,以实现开机自启动。而winform.dll则负责注入系统桌面进程,在其中查找进程窗口中带有“游戏”字样的程序,如果发现,就注入游戏的内存空间,读取帐号和密码数据。习惯手动查杀的用户,请留意这两个文件,只要删除它们,再清理干净注册表,就能清除该毒了。
作案成功后,帐号信息会被发送到病毒作者指定的地址,给用户造成虚拟财产的损失。不过由于技术含量不高,大部分安全软件都可以查杀它。不过,由于此类病毒近日出现频率较高,因此发出预警,向广大用户作为通报。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/pe-win32-pswtroj-onlinegames-ai-57344-50535.html
◆Win32.SillyDl.EBH是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时,通过Internet Explorer浏览器安装的,其它的特洛伊下载器或程序,或者是用户选择安装的软件包。
Win32/SillyDl变体可能下载其它的特洛伊病毒,或者没有病毒的程序例如广告软件。同时,它会尝试下载更新。这种病毒通常利用HTTP下载。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰为51CTO安全频道提供病毒信息。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者