您现在的位置是:首页 > IT基础架构 > 网络与安全 >

病毒预报:盗号木马盛行 小心木马病毒

2008-11-18 23:20:00作者:流云来源:

摘要近日高危病毒简介及中毒现象描述。...

一、近日高危病毒简介及中毒现象描述:

◆“运行者”病毒是一个下载者木马,并盗取网游密码和个人信息。病毒运行后释放多个动态链接库文件到系统目录下,已达到多个功能的目的,包括间谍木马、盗号木马、盗取魔兽游戏木马、下载者木马等。并在temp目录下创建备份文件,其文件名为随即的7位数字,并在系统目录下释放文件名和系统进程同名的文件System.exe,以此达到隐藏自我的目的;修改注册表加载启动项,添加驱动,连接网络下载病毒文件。

◆“ecard变种”病毒为ecard病毒变种,病毒运行后添加注册表启动项,衍生病毒文件gzipmod.dll、vbagz.sys到%System32%目录下,该病毒调用系统进程rundll32.exe,并将gzipmod.dll、vbagz.sys以句柄的形式注入其中,添加注册表躲避系统自带防火墙,创建病毒注册表服务,病毒运行之后删除自身文件,创造了互斥体防止病毒多次运行,病毒驱动通过 nt!ObReferenceObjectByName 打开磁盘驱动 DriverDisk,并遍历该驱动创建的所有设备对象,该驱动记录这些设备对象的地址用来隐藏病毒衍生的文件,检测路由器支持的路由协议功能、保护该病毒衍生的文件不被查找、发现,连接网络隐藏打开地址,收集有关的电子邮件信息。

◆Trojan/PSW.QQPass.udq“QQ大盗”变种udq是“QQ大盗”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“QQ大盗”变种udq运行后,会在被感染计算机系统的“%ProgramFiles%Internet ExplorerPLUGINS”目录下释放两个DLL病毒文件“321Nt64.Jmp”和“321Nt64.987”。其中,病毒文件“321Nt64.987”一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,执行恶意操作以防止被查杀。“QQ大盗”变种udq是一个专门盗取即时聊天工具“腾讯QQ”用户名和密码的木马程序,会在被感染计算机的后台秘密监视用户打开的所有应用程序窗口标题,一旦发现“腾讯QQ”的登陆窗口便会强行破坏其“键盘保护锁”,然后利用键盘钩子、内存截取或封包截取等技术盗取用户的账号信息,并将其发送到骇客指定的服务器上(地址加密存放),给用户造成了一定程度上的损失。另外,“QQ大盗”变种udq通过在注册表中添加启动项来实现开机的自动运行。

 

◆TrojanDownloader.JS.Agent.iy“代理木马”变种iy是“代理木马”木马下载器家族中的最新成员之一,采用“JavaScript”脚本语言编写,并经过多层加密保护。“代理木马”变种iy是一个利用“超星阅读器”漏洞传播其它病毒的脚本病毒。“代理木马”变种iy一般内嵌在正常网页中,如果用户计算机没有及时升级修补“超星阅读器”相应的漏洞补丁,那么当用户使用浏览器访问带有“代理木马”变种iy的恶意网页时,就会在当前用户计算机的后台连接骇客指定的远程服务器站点,下载恶意程序并自动调用运行。其中,所下载的恶意程序可能是网游木马、流氓广告、后门等,会给被感染计算机用户造成不同程度的损失。

二、针对以上病毒,51CTO安全频道建议广大用户:

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。

3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止,江民、安天实验室的病毒库均已更新,并能查杀上述病毒。感谢江民科技、安天实验室为51CTO安全频道提供病毒信息。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们