病毒冒充Windows网络管理服务阻止漏洞更新

病毒冒充Windows网络管理服务阻止漏洞更新 该文章转自 联信软件

“拆窗蠕虫66576”（Win32.Troj.backdoor.ya.66576），这是一个后门木马，它具有自删除的功能，会关闭许多常见安全软件和系统工具的窗口，并在系统中制造后门，为黑客入侵提供入口。 “管道隐藏者118784”（Win32.Worm.Downloader.a.118784），这是一个蠕虫病毒。它会利用系统漏洞感染PE文件，冒充系统服务进程svchost.exe启动服务。还会自动下载更新，并通过一些简易密码，传染局域网内的其它电脑。同时枚举电子邮箱地址，不断向外发送含毒邮件。 “拆窗蠕虫66576”（Win32.Troj.backdoor.ya.66576） 威胁级别：★★ 此病毒的源文件名称是zsmscc071001.exe，潜入用户系统后，它会先瞧瞧自己是否处于%windows%\system32\目录下，如果不是，便将自己复制到该目录下，并建立批处理程序，将原来位置上的文件删除，避免用户发现。 之后，它释放出三个病毒文件，分别是%windows%\system32\目录下的zsmscc071001.dll和zsmscc32.dll，以及%windows%\目录下的zsmscc16.ini，它们各有分工。其中zsmscc16.ini是木马的配置文件，记录着木马的当前版本号及安装的路径，而zsmscc071001.dll 负责监控及自我保护，zsmscc32.dll 则是木马的主要功能，可以实现对外通信和传染等功能。 由于安全软件的保护，病毒无法顺利作案，因此它会首先搜索并强行关闭打开的安全软件窗口，这个过程中，金山、卡巴斯基、瑞星、360安全卫士、江民等厂商的产品将被关闭。同时被关闭的还有其他任何含有杀毒、查毒、启动项管理、进程项管理等类似字样的窗口和系统工具。包含范围非常广。 完成以上步骤后，病毒便利用之前生成的DLL文件在系统中制造后门，接收远程指令。这样一来，其它病毒、木马，以及黑客便可顺利的进入电脑系统，给用户造成更大损失。 “管道隐藏者118784”（Win32.Worm.Downloader.a.118784） 威胁级别：★★ 病毒运行后，会在%Windows%目录\下生成svchost.exe，同时在当前所处的目录下生成kfo11.bat文件。然后，利用kfo11.bat将源文件删除，并修改注册表，将自己的文件显示模式设为隐藏，这样一来，用户便不容易发现它了。 值得注意的是，病毒会冒充Windows的网络管理服务，如果查询其属性，看到的显示名为“Windows Network Management”、描述是“为Windows提供网络管理服务。”、而路径为“ %Windows%\svchost.exe”。同时，此病毒会破坏系统更新文件日志，阻止系统更新修补漏洞，给自己争取到更久的潜伏时间。 随后，病毒搜索感染机器的PE文件，获取PE文件信息，并建立管道(pipe)后门，为黑客远程入侵提供便利，并打开病毒更新接口。下载的新病毒文件以elf_downloader.pdb的名称保存到f:\source\cg\rubbish\elf_downloader\Releas\目录下。病毒还会利用自己携带的一批简单密码来破解区域内的其他计算机密码，继续感染其他机器。同时，它还会枚举大量的电子邮箱地址，不断的发送含毒邮件，进一步传播病毒。 金山反病毒工程师建议 1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控、内存监控等），遇到问题要上报， 这样才能真正保障计算机的安全。 2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。