注册
登录
| 关键词: 病毒 变种 派克 运行 文件 木马 进程 系统 假象 目录 |
比特网安全频道今日提醒您注意:在今日的病毒中“小偷派克斯”变种dme、“假象”变种ah、“代理蠕虫变种SX”、 “偷盗者” 、 “木马”和“Win32/Sadra.A。”都值得关注。 一、今日高危病毒简介及中毒现象描述: “小偷派克斯”变种dme是“小偷派克斯”木马家族中的最新成员之一,采用高级语言编写。“小偷派克斯”变种dme运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“rs32net.exe”。创建“svchost.exe”进程,将自身代码重组并注入其中调用运行,从而防止被轻易发现和查杀。尝试连接骇客指定的若干个IP地址,读取配置文件,下载大量恶意程序,并将恶意程序注入到多个“svchost.exe”进程中加载运行。这些恶意程序之间具有进程守护功能,从而提高了木马自身的生存几率。其中,每个恶意进程又可以向若干随机的IP地址及端口发送带毒邮件和垃圾数据包,致使被感染计算机用户蒙受更多不同程度的侵害。另外,“小偷派克斯”变种dme会通过在系统注册表启动项中添加键值的方式来实现木马开机的自动运行。 “假象”变种ah是“假象”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“假象”变种ah运行后,会尝试获取网络游戏“剑侠世界”的安装目录,如果发现该游戏的安装目录存在,就会在其根目录下释放恶意DLL功能组件“lpk.dll”和“gameset.dat”,同时复制正常系统文件“%SystemRoot%\system32\LPK.DLL”至该目录下并重新命名为“LOOPARK.dat”。“假象”变种ah是一个专门盗取“剑侠世界”网络游戏会员账号的木马程序,游戏启动后会自动加载伪装成系统文件的木马组件“lpk.dll”。当木马检测到自己已经被插入到指定的游戏进程中,便会通过内存截取的方式盗取网络游戏玩家的游戏账号、游戏密码等机密信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点中,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的财产损失。另外,“假象”变种ah运行后,如果发现江民杀毒软件的实时监控存在,就会自动退出。 “代理蠕虫变种SX(Worm.Win32.VB.sx)”该病毒是由VB编写,一个文件夹类似的图标,病毒运行后会在系统根目录下复制大量的自己,并且命名为不同的名字,还会替换一些系统文件。会在根目录下释放Autorun.inf,当在打开Windows目录和system32目录的时候,病毒会关闭这个文件夹,不让访问,以躲避手工杀毒。病毒会修改开始菜单的位置,当鼠标放到这个开始菜单上时,这个菜单会随机移动,不让点击。病毒还会修改大量注册表,以实现开机启动目的。病毒会修改IE主页,以达到下载新病毒的目的,使用户容易反复感染,很难彻底清除。 “偷盗者”(Trojan/Win32.Magania.asdg[GameThief])该病毒为盗取网络游戏账号信息木马。该病毒运行后查找系统目录,释放病毒文件到%SystemDrive%:hpkq.cmd、%Windir%:1.exe与%System32%:kavo0.dll、kavo.exe,把病毒释放的DLL注入到smss.exe、csrss.exe、winlogon.exe、ctfmon.exe以外的所有进程中。修改注册表锁定文件夹选项下的“不显示隐藏的文件和文件夹”项,以隐藏病毒文件,在开自启动项中添加自启动项以达到开机自启动的目的。调用API函数获取临时文件夹位置,连接网络下载病毒文件到临时文件夹下。该病毒运行后查找以下游戏进程:江湖OL、冒险岛、黄易群侠传OL、巨商、热血江湖,获取本机系统相关信息以及进程列表后存放到Application Data\Microsoft\Dr Watson\drwtsn32.log中。该病毒运行后删除自身。盗取的相关信息以URL的方式回传到作者指定的地址。 “木马”(Trojan/Win32.MMM.mn)该病毒图标为jpg图片图标,用来迷惑用户。查找系统目录所在的位置,释放病毒文件到%System32%下。修改注册表,注册服务,注册ServiceDll,实现病毒DLL文件开机启动的目的。把病毒动态链接库创建时间修改为2005-5-15,属性设置为隐藏。遍历进程查找"safeboxtray.exe"、"360tray.exe"进程,如果找到则调用API函数强行结束进程,达到躲避360安全卫士追杀,该病毒运行后调用CMD命令删除自身。 Win32/Sadra.A。运行时,Win32/Sadra.A设置以下注册表键值,在系统启动时可以运行病毒: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sandra Dewi Bugil = "C:\Windows\Sandra Dewi Bugil.exe"Win32/Sadra.A 复制到被感染系统的所有固定和移动驱动器上,并在每个找到的驱动器上都会生成一个病毒副本,还有一个"autorun.inf"文件。当下一次访问驱动器时,"autorun.inf"文件会自动运行病毒文件。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
