病毒周报(080107至080113)

动物家园计算机安全咨询中心( [url]www.kingzoo.com[/url] )反病毒斗士报牵手广州市计算机信息网络安全协会( [url]www.cinsa.cn[/url] )发布:

本周重点关注病毒:


“李鬼卡巴42492”(Worm.AutoRun.42492)  威胁级别:★★

    病毒进入用户的系统后,会把自身病毒文件sky.exe复制到系统盘的%WINDOWS%\system32\目录下,并将其属性设为系统隐藏文件,以免被用户发现。紧接着,它就搜索杀毒软件卡巴斯基的进程,如果找到,立即修改系统时间为1981-01-12,导致依赖系统时间卡巴斯基失效,然后,病毒就会试图删除卡巴斯基的服务。
    随后,病毒修改系统注册表,把自己的相关信息加入启动项,这样以后它都能随系统启动而自动运行起来。同时,它还会伪装成卡巴斯基7.0的服务程序。从修改时间时算起,15秒后,病毒恢复正确的系统时间,这样,它成功完成“偷天换日”,摇身变成了卡巴的模样,而用户却仍蒙在鼓里。
    当病毒顺利地开始运行后,它就在后台建立远程连接,从木马作者指定的地址下载大量其它木马文件,并立刻运行它们。同时,病毒将自身文件sky.exe复制到各磁盘的根目录下,并创建对应的autorun.inf文件,只要用户在中毒电脑上使用U盘等移动存储器,病毒就会立刻将其传染,扩大自己的感染范围。
    此外,该病毒具有自我删除的功能,当运行完后,它就在%WINDOWS%\system32\目录下创建一个Deledomn.bat文件,将自己的原始文件删除。

   “乌鸦喝水4678”(JS.fullexploit.ca.4678)  威胁级别:★★

    此病毒利用网页挂马的方式进行传播,如果用户浏览被它挂马的网站,系统就会立即被感染。病毒进入用户系统后,会搜索百度搜霸工具条、超星阅读器、联众游戏、暴风影音、realplayer、迅雷等多种网络软件的进程,发现后对它们进行检查,看是否存在安全漏洞。如果有,病毒就会立即产生大量数据信息,制造溢出事件。
    所谓“溢出”,指的水池里的水太多,漫了出来。计算机系统中有一个数据缓存区,它就好比于一个用来存储用户输入的数据的“水池”。这个“水池”的空间有限,如果输入的数据超过了缓冲区的长度,就会发生溢出,而这些溢出的数据会覆盖在其它的数据上。如果溢出的数据具有破坏性,就无疑会对其它数据造成破坏。
    一旦此病毒脚本溢出成功,它就可以在用户无法察觉的情况下建立远程连接,从 [url]http://9[/url]*.*c/s.exe这个由木马种植者指定的地址下载大量其它木马程序,并立刻将它们激活运行,给用户系统造成无法估计的破坏。
    在破坏用户系统的同时,病毒还会趁用户访问网络的时候,对用户浏览过的网站进行挂马传播,寻找下一个受害者。

“纸糊防火墙”(Win32.TrojDownloader.Agent.20480)  威胁级别:★★

    病毒顺利潜入用户电脑系统后,会先释放出3个病毒文件,分别为%WINDOWS%\drivers\目录下的runtime.sys,%WINDOWS%\DRIVERS\目录下的Ip6Fw.sys,以及%WINDOWS%\0_exception.nl。此外,如果中毒用户的操作系统为windows 2000,那么病毒还会在%WINDOWS%\drivers\目录下生成一个netdtect.sys文件。释放完文件后,病毒就修改注册表,把自己的相关数据写入启动项,达到随系统自动启动之目的。
    随系统重新启动后,病毒会尝试运行之前生成的runtime.sys文件和Ip6Fw.sys文件。为了避免被用户发现,它会将Ip6Fw.sys加以伪装,如果用户检查此文件的属性,会看到其描述是:为家庭和小型办公网络提供入侵保护服务。这样的描述有点眼熟吧,原来,这个文件是病毒用来替换WINDOWS系统防火墙驱动的。
    当成功替换掉WINDOWS系统防火墙驱动,病毒就删除自身原始文件,然后开始查询中毒电脑的操作系统版本等信息,并利用IE浏览器的进程IEXPLORE.EXE在后台建立远程连接,根据之前获取的系统信息从黑客指定的远程服务器下载更多其它病毒,给用户系统安全带来更多无法估计的威胁。

“灰鸽子变种pv”(Win32.Hack.Huigezi.pv.815104)  威胁级别:★★

    病毒进入电脑系统后,会将病毒文件KAV.sys释放到系统盘的%WINDOWS%\system32\drivers\目录下,然后修改系统注册表,以便以后都能随着系统的启动而自动运行起来。
    病毒开始运行后,就搜索并注入到系统桌面进程Explorer.exe中,然后自动分析控制端(中毒电脑)的IP,然后在用户无法察觉的情况下自动创建网络连接。与此同时。它会打开打中毒电脑上的8080和1080号端口,等待黑客的连接。
    只要黑客顺利地与中毒电脑建立连接,就能利用打开的端口对中毒计算机实施各种操作,无论文件创建、删除,还是进程启动和关闭,以及网络服务的运行,黑客都能为所欲为。给用户的个人隐私和系统安全造成严重威胁。一些别有用心的黑客甚至会利用中毒电脑对其它正常电脑发动攻击,给用户带不必要的麻烦。

动物家园计算机安全咨询中心反病毒工程师建议:

   1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。

   5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询

你可能感兴趣的:(职场,安全,病毒,休闲,周报)