病毒周报(080428至080504)

动物家园计算机安全咨询中心( [url]www.kingzoo.com[/url] )反病毒斗士报牵手广州市计算机信息网络安全协会( [url]www.cinsa.cn[/url] )发布:

本周重点关注病毒:

  
“QQ艳照门病毒”(Win32.Troj.Downloader.mu.109568)  威胁级别:★★

     这个病毒会利用网页挂马和QQ聊天工具进行传播。一些“求图心切”的网民,在网上看到艳照链接就会“本能”地去点击,这样一来,便感染上了病毒。如果用户电脑上安装得有QQ即时聊天工具,病毒会利用它,更高效地传播自己。它读取用户当前的聊天窗口,向好友发送含一个名为“陈冠希原版相片.rar”压缩包,骗取好友接收。为避免该压缩包被发送到QQ邮箱中,当QQ弹出询问“是否通过QQ邮箱发送”时,病毒会模拟用户的鼠标操作,点击“否”按钮。
    压缩包里的病毒是无法自动运行起来的,它需要用户解压后才能自由行动,如果解压成功,病毒就会自动调用IE浏览器,弹出一个名为 [url]http://www.b[/url]***uoo.com的网站。该网站会将用户引导到雅虎网。注意,这个动作是病毒使的障眼法,它这样做是为了让用户们以为接收到的是个普通的刷流量软件,一删了之,而不会去想是否有别的古怪。而实际上,病毒已成功潜入电脑系统了。
    无论是利用哪种方法,病毒进入用户系统后,会立即利用通过镜项劫持,把麦咖啡、Network Associates、赛门铁克、江民、QQ医生、瑞星、360安全卫士木马克星、超级巡警、木马杀客等众多厂家的安全软件产品弄瘫痪,把它们变成自己的傀儡。它还会修改系统时间为2002年,令卡巴斯基等依赖系统时间进行激活和升级的安全软件失效。    为防止用户手动查杀,它还会修改注册表,导致不能进入安全模式,以及无法显示隐藏文件。
    随后,病毒将自身文件wuauc1t.exe拷贝到“C:\WINDOWS\system32\目录”,并将属性改为系统隐藏。同时,它在各磁盘分区下建立AUTO病毒文件explorer.pif和autorun.inf来实现自启动,如果成功启动,就会立即连接病毒作者指定的远程服务器 [url]http://www.b[/url]***uoo.com/,疯狂下载40多个病毒文件到用户电脑中运行。而这些病毒基本上都是盗窃网游帐号、网银密码、用户个人隐私等敏感数据的木马程序。而由于释放出了AUTO文件,用户只要在中毒电脑上使用U盘等移动存储设备,病毒就会自动传染上去,扩大传播范围。
    如果有用户习惯手动查杀,可以参考以下建议:
关闭IEXPLORE.EXE、wuauc1t.exe、explorer.pif
修复镜项劫持、安全模式、和隐藏文件选项
删除%windir%system32\wuauc1t.exe 、%TempPath%\陈冠希原版相片.rar、c:\sys.pif 、c:\1~40.pif %windir%\system32\syurl.dll ,以及各驱动器下的explorer.pif 和autorun.inf.   

“AV终结者变种106496”(Win32.Troj.AVKiller.ex.106496)  威胁级别:★★

       该病毒进入系统后执行的操作,与以前的版本基本无异,都是先释放出病毒文件,然后修改系统注册表实现自动启动,并紧接着执行映象劫持,将用户系统中安装的安全软件弄瘫痪,以便于病毒以后的破坏操作。病毒释放出的文件wuauc1t.exe和sssurl.dll会被伪装成系统文件,隐藏在%WINDOWS%根目录下。
    为防止用户进行手动查杀,病毒修改注册表中的相关数据,使中毒电脑无法显示隐藏的文件和系统文件,这样一来,当病毒把自己伪装成系统文件并设置隐藏模式后,用户就无法找到它们。同时,病毒还会禁止用户进入安全模式和打开注册表编辑器,以便长久地在电脑中驻留下去。并且,病毒会在每一个磁盘分区的根目录下生成一个explorer.exe文件和AUTORUN.INF文件,当用户在中毒电脑上使用U盘等移动存储设备时,病毒就会趁机将其感染。
    最后,病注入系统桌面进程和其它非系统进程中,隐蔽地运行自己,从病毒作者指定的地址下载大量盗号木马,将用户系统中有价值的信息盗窃一空,引发无法估计的损失。

“鼠标窥视器110145”(Win32.PSWTroj.OnLineGames.xh.110145)  威胁级别:★★

    这个病毒是一个盗号木马,它并没有特定的作案对象,而是对用户输入的所有数据下手。该病毒在进入系统、完成文件释放后,立即修改系统的SSDT(系统服务调度表),从而解除具有主动防御功能的杀毒软件的武装,然后将病毒文件注入到系统桌面进程中,监视用户的鼠标、键盘操作,从而获得用户的游戏帐号和密码信息。
    成功获取信息之后,病毒便将信息加密,以邮件的形式,通过SMTP(一种为提高电脑用户的通讯效率而设置的免验证通讯方式),以及网页收信空间的方式发送给木马作者。木马作者一旦获得这些数据,他只需经过简单的计算,便可从中筛选出有价值的信息,从而给用户带来虚拟财产、商业机密的损失,甚至个人隐私的泄露。
    习惯手动查杀病毒的用户,请注意%WINDOWS%\system32\目录下的tavo.exe和tavo0.dll,以及系统临时目录中的v9kctbg9.dll,它们就是病毒释放出的文件。这三个文件各有分工,必须将它们完全清除才能恢复系统正常。

“QQ幻想盗号木马65697”(Win32.Troj.OnlineGameT.bd.65697)  威胁级别:★★

    这是个具备一定对抗杀软能力的网游盗号木马。它在进入系统后,会立即抢先搜索卡巴斯基的警告窗口和瑞星的注册表监控提示窗口,防止卡巴和瑞星向用户报告系统异常。此后,它每隔1毫秒的时间,就重复一次搜索,确保卡巴和瑞星永远都无法向用户发出警告。
    与此同时,该毒会在系统中释放出两个病毒文件,分别为%WINDOWS%目录下的病毒主文件mfchlp.exe,以及%WINDOWS%\system32\目录下负责盗号的mfchlp.dll。前者会被写入系统注册表,以实现开机自启动,而后者则负责注入系统桌面进程explorer.exe,查找网络游戏《QQ幻想》的进程。
    Mfchlp.dll会试图通过全局监视程序,注入到所有进程中,通过读取它们的相关函数来找到《QQ幻想》的进程文件qqffo.exe,读写其内存,获取网络游戏账号和密码以及其它私人信息,然后通过网络收信空间发给木马作者,给用户造成虚拟财产的损失。

“恶心莲蓬下载器”(Worm.AutoRuns.m)  威胁级别:★★

    这个病毒是一个木马下载器的变种。它在系统中运行起来后,会释放出数量惊人的病毒文件,这些病毒文件都集中在系统盘中,其中大部分位于%windows%\system32\目录下。如果用户看到那长长的文件列表,并饱尝该毒的伤害,会觉得像看了近来网上流行的“莲蓬图”一般恶心。
    在释放文件的同时,病毒会感染硬盘中全部的的.exe、.htm、html文件,并删除%windows%\system32\目录下的系统补丁文件verclsid.exe,让自己接下来的破坏更顺利。接着,病毒替换掉%windows%目录下的系统桌面进程explorer.exe。
    在病毒释放出的若干文件中,%windows%\system32\目录下的75132.dat和%windows%\system32\目录下的urjuujdw.hew,值得注意。这两个进程相互配合,指挥%windows%\system32\目录下的msosdohs00.dll和%windows%\system32\目录下的msosdohs01.dll插入系统核心进程、explorer.exe进程以及包括安全软件在内的所有应用程序进程。执行破坏还原保护、关闭防火墙、破坏系统监视软件、阻止用户进入桌面、安装恶意插件等动作。
    最后,病毒链接病毒作者指定的远程地址,下载27个病毒文件。其中包括由0至25的数字命名的exe文件,以及一个名为oko.exe的文件,这些文件都是盗号木马,如果成功进入电脑,将引起无法估计的更大损失。
    此外,病毒还在硬盘各个分区的根目录下生成AUTO病毒MSDOS.BAT和autorun.inf,当用户在中毒电脑上使用移动存储设备时,就传染上去,实现更大规模的传播。如果用户运行MSDOS.BAT,病毒就会悄悄访问病毒作者指定的地址 [url]http://58.[/url]*3.1*8.37,下载大量病毒。

动物家园计算机安全咨询中心反病毒工程师建议:

   1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。

   5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询

你可能感兴趣的:(病毒,休闲,杀毒,木马,盗号)