您现在的位置是:首页 > IT基础架构 > 网络与安全 >

4月24日预警:谨防“视频宝宝”和“代理木马”

2010-04-26 02:48:00作者: 来源:

摘要在4月24日中“视频宝宝”变种xpb和“代理木马”变种jof值得关注。...

在4月24日中“视频宝宝”变种xpb和“代理木马”变种jof值得关注。

一、4月24日病毒简介及中毒现象描述:

Trojan/VB.xpb“视频宝宝”变种xpb是“视频宝宝”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“视频宝宝”变种xpb运行后,会在被感染系统的“%Program Files%Window NT”文件夹下释放恶意程序“svstem.exe”,在“%Program Files%winnt”文件夹下释放“winlogon.exe”、“smss.exe”,在“%Program Files%WindowsUpdate”文件夹下释放“bugreport.exe”。其还会将“%ALLUSERSPROFILE%「开始」菜单程序启动”文件设置为隐藏属性,并在其中加入指向恶意程序的快捷方式。释放完成后,原病毒程序会释放批处理文件“kill.bat”,以此将自身进行删除。在被感染系统的后台连接骇客指定的远程站点“ www.q*a.com/ht/tt.txt”,获取恶意程序下载列表,然后下载其中指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。

Trojan/PSW.Agent.jof“代理木马”变种jof是“代理木马”家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件,经过加壳保护处理。“代理木马”变种jof是一个专门盗取“梦幻西游”网络游戏会员账号的木马程序,其会随“梦幻西游”一同启动运行。“代理木马”变种jof运行后,会首先确认自身是否已经插入到系统桌面进程“explorer.exe”和游戏进程“my.exe”中。如果已经插入其中,则会利用内存截取技术窃得网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“代理木马”变种jof会通过在被感染系统注册表启动项中添加键值的方式实现盗号木马的开机自启。

二、针对以上病毒,我们建议广大用户:

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。

3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们