科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道11日病毒预报:木马家族添新丁 ARP病毒很凶猛

11日病毒预报:木马家族添新丁 ARP病毒很凶猛

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在明天的病毒中“代理木马”变种ba、“QQ大盗”变种dbx、“ARP蜗牛745472”、“VBS自动木马下载器11164” 、“变种下载者”和“古老的派送器”都值得关注。

作者:Arade 来源:51CTO 2008年5月11日

关键字: 卡巴斯基 卡巴斯基病毒库

  • 评论
  • 分享微博
  • 分享邮件

  一、明日高危病毒简介及中毒现象描述:

  ◆“代理木马”变种ba是“代理木马”木马家族的最新成员之一,采用VBS脚本语言编写。“代理木马”变种ba运行后,自我复制到各个盘符根目录下并在各个盘符根目录下创建文件AutoRun.inf(文件属性设置为隐藏),达到双击盘符启动“代理木马”变种ba运行的目的。修改注册表,实现木马开机自动运行。破坏注册表,致使用户无法查看隐藏文件。每隔一段时间自动关闭命令提示符窗口、任务管理器、注册表编辑器、系统配置实用程序以及被感染计算机上某些安全软件,大大降低了被感染计算机上的安全性。修改注册表,更改*.txt、*.hlp、*.reg、*.chm等文件的文件关联为病毒体,致使用户打开这些类型的文件时先执行“代理木马”变种ba。遍历磁盘内所有文件,感染*.hta、*.htm、*.html、*.asp文件,利用这些文件进行网页挂马。

  ◆“QQ大盗”变种dbx是“QQ大盗”木马家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“QQ大盗”变种dbx运行后,在被感染计算机系统盘下释放驱动文件。修改注册表,将该驱动文件注册为BHO(浏览器辅助对象),实现木马开机自动运行。在后台秘密监视用户打开的窗口标题,一旦发现用户打开QQ登陆窗口便记录键击,窃取用户的QQ用户名和密码,给用户带来极大的损失。

  ◆“ARP蜗牛745472”ARP病毒最令人无法忍受的地方就是它对网速的影响。整个局域网中,只要有一台电脑中了ARP,其余电脑的网速都会被拖后腿,严重时甚至会死机。本则预警播报所介绍的就是这样一个病毒。

  该病毒进入用户系统后,释放文件、并修改系统注册表实现自动运行。当它成功运行后,会欺骗局域网内所有主机和路由器,向它们发送大量垃圾信息,并冒充成网关,让所有上网的数据都必须经过中毒电脑。

  在这个过程中,由于其他用户原来是直接通过路由器上网,而现在转由通过病毒主机上网,那么在切换的时候就会断一次线。等再连接上后,网速就会越来越慢,直到掉线。给用户的使用造成极大不便。

  喜欢手动杀毒的用户,可在系统盘中找到病毒释放出的五个病毒文件,分别为%WINDOWS%system32目录下的packet.dll、wanpacket.dll、wpcap.dll,以及%WINDOWS%Cache目录下的Arpmm.exe,还有%WINDOWS%system32drivers目录下的npf.sys。另外需告知大家的是,该病毒具备自我删除功能,运行完毕后,它就会自我删除,使得用户难以找到它。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-trojdownloader-delf-745472-50523.html

  ◆“VBS自动木马下载器11164”这一个VBS格式的网页病毒,主要功能是下载木马程序。它的基本原理并不复杂,但因为能够通过网页挂马和AUTO传播的方式进行扩散,大面积传播的趋势较高。

  病毒进入电脑后,立即释放病毒文件“.vbs”到系统盘的%WINDOWS%system32目录和%WINDOW%system32wbem目录下。注意,这个“.vbs”是没有名字的,这可以作为识别它的特征。

  接着,病毒修改系统时间至2003年,致使卡巴斯基等依赖系统时间来进行激活和升级的杀毒软件失效。当然,如果你的电脑中有其它软件也是依赖系统时间的,那它们也会受到影响。与此同时,病毒会搜索连接到中毒电脑上的所有存储设备,比如U盘和本地硬盘,在它们的根目录中创建autorun.inf文件,实现自动播放功能。这样一来,它就能够在各种存储设备之间自由地传播,不断扩大传染范围。

  毒霸反病毒工程师在病毒代码中发现一个名为http://2**3.cn/x*W/X1.ASP的网址,经检验,这是病毒作者指定的远程服务器。病毒会悄悄连接它,下载其它木马文件,以“.exe”的名称隐藏到%WINDOWS%system32目录下运行,引发更多无法估计的损失。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/vbs-autorun-al-11164-50522.html

  ◆“变种下载者”该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随系统引导病毒体。病毒体自动连接某服务器下载病毒体到本机运行,下载的病毒体主要为网络游戏盗号程序,并扫描本机 IP所属的网段139端口,试图利用网络共享传播自身。值得注意的是,此病毒大量存在于利用最近的微软的ANI漏洞构造的图片与脚本中。收集用户的 MAC 地址信息发送到下列 ASP 页面:http://www.1*d*m.com/***tai/***u94/***nt/***nt.asp该病毒主要是通过用户访问不知名网站进行传播。

  ◆“古老的派送器”该病毒运行后,从某互联网地址下载病毒病毒体到本机运行,并添加注册表自动运行项与系统服务项、修改 LSP ,以达到随系统启动的目的。通过内建的 SMTP 蠕虫程序连接到互联网 SMTP 服务器,获得需要伪造的邮件信息,进而大量发送垃圾邮件,严重占用网络资源。

  二、针对以上病毒,51CTO安全频道建议广大用户:

  1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

  2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。

  3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。

  截至记者发稿时止,江民、金山、安天的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸和安天为51CTO安全频道提供病毒信息。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章