病毒周报(071203至071209)
动物家园计算机安全咨询中心(
[url]www.kingzoo.com[/url]
)反病毒斗士报牵手广州市计算机信息网络安全协会(
[url]www.cinsa.cn[/url]
)发布:
本周重点关注病毒:
“丝路盗贼41164”(Win32.Troj.Maplestory.ap.41164) 威胁级别:★★
病毒顺利进入用户系统后,会生成两个病毒文件,分别为%windows%\system32\目录下的agetljenilyn.exe文件和%系统盘%\Documents and Settings\用户名\local settings\Temp\下的Temp~3文件。接着,病毒修改注册表启动项,把自己设置为自启动,这样一来,它便可以在用户每次开机时自动启动。
然后,此病毒搜索金山毒霸、瑞星、卡巴斯基、天网、木马克星、江民、诺顿等安全软件,发现后便会尝试将其关闭,以便自己能在系统中为所欲为。
当解决掉安全软件,病毒就开始搜索《丝路》网络游戏的游戏窗口,找到《丝路》客户端程序SRO_client.exe的进程。然后将自己注入其中,通过内存读写的方式盗取游戏帐号及密码,并立即将其发送到木马种植者的163邮箱,给用户造成虚拟财产的损失。
“ARP下载者102400 ”(Win32.Troj.Downloader.yl.102400) 威胁级别:★★
病毒进入系统后,会释放出5个病毒文件,分别为%WINDOWS%\system32\Com\目录下的SMSS.EXE、netcfg.dll、netcfg.000,以及%\WINDOWS%\system32\drivers\目录下的alg.exe目录下,还有释放出%\WINDOWS%\system32\下的dnsq.dll。同时还在在所有的磁盘根目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件,如果用户双击进入受感染磁盘,病毒就会被再次激活。此后,只要用户在此台电脑上使用U盘等移动存储器器,病毒就会立刻传染上去。
病毒还将自己拷贝到%WINDOWS%\system32\Com\目录下,更名为 LSASS.EXE,并释放并运行病毒文件SMSS.EXE 和 ALG.EXE ,由于病毒的进程名和系统的 LSASS、SMSS 进程名相同,任务管理器将无法结束它。该病毒会修改注册表,禁用显示隐藏文件选项,使隐藏文件无法被显示,并破坏系统安全模式的相关数据,使用户无法启动安全模式。它还会不断修改注册表,这会试得部分安全工具无法成功修复安全模式。
该病毒具有映象劫持功能,可以破坏许多常用安全工具和调试分析软件的正常运行,如果它发现自己无法解决安全软件,就会像耍无赖一样将电脑强制关机。
最后该病毒悄悄建立远程连接,从 [url]http://w.c[/url]**o.com/*.htm 和 [url]http://j[/url]*.k***2.com/g*.asp这两个黑客指定的地址下载恶意脚本执行。此外,之前生成的alg.exe 是个ARP 病毒,它会利用 WinPcap 来收发网络包,对整个局域网内的所有 IP 进行攻击,给网络中的所有用户造成影响。
“木马杂货铺1050112”(Win32.Hack.Agent.yc.1050112) 威胁级别:★★
病毒进入系统后,立刻在所有磁盘的根目录里各生成大量病毒文件,比如Autorun.inf、iexplore.exe、readme.htm.exe、个人资料.htm.ex、未命名.htm.exe、论文.htm.exe等。此外,还有%windows%\目录下的QQ.exe文件和%系统盘%\Documents and Settings\All Users\「开始」菜单\程序\启动\目录中的Internet Explorer.exe文件。然后病毒修改注册表启动项,将之前生成的QQ.exe的相关信息加入其中,达到随系统自启动的目的。从这点可以看出,这个假QQ就是该“病毒团伙”的“主犯”。
病毒继续释放大量伪装成EXE可执行文件的病毒文件,所有的磁盘分区中将出现个人资料.htm.exe、网上资料.htm.exe、日记.htm.exe、论文.htm.exe、readme.htm.exe等双格式命名的文件,骗取用户点击。但由于其图标均为IE浏览器的图标,这就可作为识别病毒文件的一个依据。同时,病毒还会修改注册表中的相关信息,自动加载之前生成的QQ.exe或Internet Explorer.exe进程,并将其设置为任务管理器无法查看的隐藏模式。
下一步,病毒尝试连接远程地址,下载更多的病毒文件安装至本地计算机,同时它通过键盘嗅探的方法记录用户键盘点击,并将其发送给黑客,威胁到用户隐私、帐号密码等信息的安全。此外,该病毒还具备自我更新功能,它可通过名为“windows.ini”的配置文件来更新自己的信息,并且还能随U盘等移动存储器传播。
“迅雷蛀虫”(Win32.Troj.Agent.vb.81920) 威胁级别:★
病毒进入用户系统后,会释放出两个病毒文件,分别为%windows%\system32\目录下的gdisvc.exe和%Program Files%\Common Files\System\目录下的gdiserver.exe。然后,它就建立批处理程序,把源文件删除,使用户不易发现它。接下来,病毒修改系统注册表启动项,将自己的相关信息加入其中,达到随系统自动启动之目的。并生成一个伪装成windows图形设备的系统服务“Gdi Server”,其路径指向其实就是之前生成的gdiserver.exe文件。
病毒运行后,将之前生成的gdisvc.exe加载为无法通过任务管理器查看的隐藏的进程,然后尝试连接远程服务器,从 [url]http://o[/url]*.o**y.com/**ss、 [url]http://www.z[/url]**.com.cn/r**.asp、 [url]http://u[/url]***te1.s****nine.cn/Toolbar等地址下载大量木马。这些木马会以成GIF、TXT、ALL、JS等格式潜入用户系统,其中还包括一个“迅雷看看”(Thunder KanKan)上的漏洞指令。如果用户系统中安装有迅雷,病毒就会利用此漏洞展开更疯狂的木马下载行为,给用户系统造成无法估计的损失。
在下载木马的同时,病毒也收集用户网卡信息和统计中毒者数量,并把相关信息发送到
[url]http://www.ha[/url]***p.com/index.htm、 [url]http://p[/url]**.p*****a.com/Pro等木马作者(黑客)指定的地址,这些信息将有助于黑客进行更多的恶劣行径。
“网游盗号木马152330”(Win32.PSWTroj.OnlineGames.152330) 威胁级别:★
病毒成功运行后,在%Program Files%\common files\Microsoft Shared\MSInfo\目录下释放出三个病毒文件,分别为SysInfo1.dll、SysInfo1.dll2、wyls.exe,然后修改注册表启动项,将自己的相关信息加入其中,这样以后它都可以随系统的启动而自动运行。
在运行过程中,病毒会把之前释放出的SysInfo1.dll文件注入Explorer.exe进程,从中搜索《跑跑卡丁车》、《剑侠2》、《劲舞团》、《完美世界》等多款网络游戏的进程,一旦发现,就立刻注入游戏进程,设置消息钩子,监视用户向游戏服务端发出的信息,从中窃取帐号密码等信息。紧接着,病毒在用户不知晓的情况下建立远程连接,以网页提交的方式将窃得的信息发送给木马种植者。给用户造成虚拟财产的损失。
此外,该病毒还具有自删除的功能,当运行完成后,它还会删除源文件,使用户不易发现它。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
本周重点关注病毒:
“丝路盗贼41164”(Win32.Troj.Maplestory.ap.41164) 威胁级别:★★
病毒顺利进入用户系统后,会生成两个病毒文件,分别为%windows%\system32\目录下的agetljenilyn.exe文件和%系统盘%\Documents and Settings\用户名\local settings\Temp\下的Temp~3文件。接着,病毒修改注册表启动项,把自己设置为自启动,这样一来,它便可以在用户每次开机时自动启动。
然后,此病毒搜索金山毒霸、瑞星、卡巴斯基、天网、木马克星、江民、诺顿等安全软件,发现后便会尝试将其关闭,以便自己能在系统中为所欲为。
当解决掉安全软件,病毒就开始搜索《丝路》网络游戏的游戏窗口,找到《丝路》客户端程序SRO_client.exe的进程。然后将自己注入其中,通过内存读写的方式盗取游戏帐号及密码,并立即将其发送到木马种植者的163邮箱,给用户造成虚拟财产的损失。
“ARP下载者102400 ”(Win32.Troj.Downloader.yl.102400) 威胁级别:★★
病毒进入系统后,会释放出5个病毒文件,分别为%WINDOWS%\system32\Com\目录下的SMSS.EXE、netcfg.dll、netcfg.000,以及%\WINDOWS%\system32\drivers\目录下的alg.exe目录下,还有释放出%\WINDOWS%\system32\下的dnsq.dll。同时还在在所有的磁盘根目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件,如果用户双击进入受感染磁盘,病毒就会被再次激活。此后,只要用户在此台电脑上使用U盘等移动存储器器,病毒就会立刻传染上去。
病毒还将自己拷贝到%WINDOWS%\system32\Com\目录下,更名为 LSASS.EXE,并释放并运行病毒文件SMSS.EXE 和 ALG.EXE ,由于病毒的进程名和系统的 LSASS、SMSS 进程名相同,任务管理器将无法结束它。该病毒会修改注册表,禁用显示隐藏文件选项,使隐藏文件无法被显示,并破坏系统安全模式的相关数据,使用户无法启动安全模式。它还会不断修改注册表,这会试得部分安全工具无法成功修复安全模式。
该病毒具有映象劫持功能,可以破坏许多常用安全工具和调试分析软件的正常运行,如果它发现自己无法解决安全软件,就会像耍无赖一样将电脑强制关机。
最后该病毒悄悄建立远程连接,从 [url]http://w.c[/url]**o.com/*.htm 和 [url]http://j[/url]*.k***2.com/g*.asp这两个黑客指定的地址下载恶意脚本执行。此外,之前生成的alg.exe 是个ARP 病毒,它会利用 WinPcap 来收发网络包,对整个局域网内的所有 IP 进行攻击,给网络中的所有用户造成影响。
“木马杂货铺1050112”(Win32.Hack.Agent.yc.1050112) 威胁级别:★★
病毒进入系统后,立刻在所有磁盘的根目录里各生成大量病毒文件,比如Autorun.inf、iexplore.exe、readme.htm.exe、个人资料.htm.ex、未命名.htm.exe、论文.htm.exe等。此外,还有%windows%\目录下的QQ.exe文件和%系统盘%\Documents and Settings\All Users\「开始」菜单\程序\启动\目录中的Internet Explorer.exe文件。然后病毒修改注册表启动项,将之前生成的QQ.exe的相关信息加入其中,达到随系统自启动的目的。从这点可以看出,这个假QQ就是该“病毒团伙”的“主犯”。
病毒继续释放大量伪装成EXE可执行文件的病毒文件,所有的磁盘分区中将出现个人资料.htm.exe、网上资料.htm.exe、日记.htm.exe、论文.htm.exe、readme.htm.exe等双格式命名的文件,骗取用户点击。但由于其图标均为IE浏览器的图标,这就可作为识别病毒文件的一个依据。同时,病毒还会修改注册表中的相关信息,自动加载之前生成的QQ.exe或Internet Explorer.exe进程,并将其设置为任务管理器无法查看的隐藏模式。
下一步,病毒尝试连接远程地址,下载更多的病毒文件安装至本地计算机,同时它通过键盘嗅探的方法记录用户键盘点击,并将其发送给黑客,威胁到用户隐私、帐号密码等信息的安全。此外,该病毒还具备自我更新功能,它可通过名为“windows.ini”的配置文件来更新自己的信息,并且还能随U盘等移动存储器传播。
“迅雷蛀虫”(Win32.Troj.Agent.vb.81920) 威胁级别:★
病毒进入用户系统后,会释放出两个病毒文件,分别为%windows%\system32\目录下的gdisvc.exe和%Program Files%\Common Files\System\目录下的gdiserver.exe。然后,它就建立批处理程序,把源文件删除,使用户不易发现它。接下来,病毒修改系统注册表启动项,将自己的相关信息加入其中,达到随系统自动启动之目的。并生成一个伪装成windows图形设备的系统服务“Gdi Server”,其路径指向其实就是之前生成的gdiserver.exe文件。
病毒运行后,将之前生成的gdisvc.exe加载为无法通过任务管理器查看的隐藏的进程,然后尝试连接远程服务器,从 [url]http://o[/url]*.o**y.com/**ss、 [url]http://www.z[/url]**.com.cn/r**.asp、 [url]http://u[/url]***te1.s****nine.cn/Toolbar等地址下载大量木马。这些木马会以成GIF、TXT、ALL、JS等格式潜入用户系统,其中还包括一个“迅雷看看”(Thunder KanKan)上的漏洞指令。如果用户系统中安装有迅雷,病毒就会利用此漏洞展开更疯狂的木马下载行为,给用户系统造成无法估计的损失。
在下载木马的同时,病毒也收集用户网卡信息和统计中毒者数量,并把相关信息发送到
[url]http://www.ha[/url]***p.com/index.htm、 [url]http://p[/url]**.p*****a.com/Pro等木马作者(黑客)指定的地址,这些信息将有助于黑客进行更多的恶劣行径。
“网游盗号木马152330”(Win32.PSWTroj.OnlineGames.152330) 威胁级别:★
病毒成功运行后,在%Program Files%\common files\Microsoft Shared\MSInfo\目录下释放出三个病毒文件,分别为SysInfo1.dll、SysInfo1.dll2、wyls.exe,然后修改注册表启动项,将自己的相关信息加入其中,这样以后它都可以随系统的启动而自动运行。
在运行过程中,病毒会把之前释放出的SysInfo1.dll文件注入Explorer.exe进程,从中搜索《跑跑卡丁车》、《剑侠2》、《劲舞团》、《完美世界》等多款网络游戏的进程,一旦发现,就立刻注入游戏进程,设置消息钩子,监视用户向游戏服务端发出的信息,从中窃取帐号密码等信息。紧接着,病毒在用户不知晓的情况下建立远程连接,以网页提交的方式将窃得的信息发送给木马种植者。给用户造成虚拟财产的损失。
此外,该病毒还具有自删除的功能,当运行完成后,它还会删除源文件,使用户不易发现它。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询