注册
登录
| 关键词: 变种 佳美 尼亚 木马 用户 病毒 尖峰 系统 骇客 远程 |
比特网安全频道今日提醒您注意:在今日的病毒中“尖峰洞”变种azb、“佳美尼亚”变种u种、“狂风下载器释放体”和“非法远程连接工具”都值得关注。 比特网综合报道比特网安全频道今日提醒您注意:在今日的病毒中“尖峰洞”变种azb、“佳美尼亚”变种u种、“狂风下载器释放体”和“非法远程连接工具”都值得关注。 一、今日高危病毒简介及中毒现象描述: “尖峰洞”变种azb 是“尖峰洞”木马家族中的最新成员之一,采用“Borland Delphi 6.0-7.0”编写,并且经过多次加壳保护处理。“尖峰洞”变种azb运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”目录下,重新命名为“explor.exe”。利用Rootkit技术隐藏木马的相关进程和文件等,从而使得用户难以对其进行查杀。“尖峰洞”变种azb运行时,会将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行,不断尝试与控制端(IP地址为:202.106.*.29:8000)进行连接,一旦连接成功,则被感染的计算机便会沦为骇客的傀儡主机。骇客可以向被感染的系统发送恶意指令,从而执行任意控制操作,其中包括文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等,给用户的个人隐私甚至是商业机密造成了不同程度的侵害。同时,骇客还可以向傀儡主机发送大量的恶意程序,从而致使用户面临更加严重的威胁。“尖峰洞”变种azb会在被感染计算机中注册名为“windows核心组件服务项”的系统服务,以此实现木马的开机自启。其主程序在安装完毕后也会将自我删除,从而达到了消除痕迹的目的。 “佳美尼亚”变种u 是“佳美尼亚”木马家族中的最新成员之一,采用“Microsoft VisualC++6.0”编写。“佳美尼亚”变种u运行后,会在被感染系统的“%SystemRoot%\system32\”目录下释放恶意程序“system_ylmy.exe”,在“%SystemRoot%\system\”目录下释放恶意DLL组件“QQrecord.dll”,在“%SystemRoot%\”目录下释放加壳的恶意DLL组件“usp10.dll”。“佳美尼亚”变种u是一个专门盗取“QQ”会员账号的木马程序,运行时会首先结束系统中已经存在的“QQ.exe”进程。监视用户是否重新打开了“QQ用户登陆”窗口,一旦发现该窗口被打开,便会通过安装键盘钩子、键盘记录等方式盗取用户的“QQ”账号和密码等信息,并在后台将窃取到的信息发送到骇客指定的收信页面“http://3www.99*r.net/qq_dahuala.asp”上(地址加密存放),致使用户的“QQ”帐号丢失,给用户造成了不同程度的损失。另外,“佳美尼亚”变种u会通过仿冒系统文件“usp10.dll”的方式实现木马的开机自动运行。 “狂风下载器释放体”(win32.troj.downbwm.100872) ,这是一个木马下载器的母体。如果它顺利进入电脑,就会在系统盘中释放出下载器的文件,下载大量的恶意程序到电脑中。“狂风下载器释放体”(win32.troj.downbwm.100872)无疑是最近最耀眼的“新起之秀”,在进入六月后,该毒多次对用户构成极大威胁,频繁出现在我们的预警中。昨日,它的感染量继续增长,以23万台次的单日感染量拿下感染量排行的首位。目前发现此毒主要通过脚本下载器的帮忙,以及捆绑其它程序来进行传播,当顺利进入系统后,就会在系统盘的system32目录下生成病毒dll文件。此毒拥有多款变种,根据变种的不同,所释放文件的功能也有所差异,主要是远程控制程序和一些能下载其他木马的下载器程序。而由于被它下载到电脑中的木马会越来越多、并且都被激活运行,系统的资源会被逐渐占用,运行速度越来越慢。 “非法远程连接工具”(win32.troj.smallt.rv.61440) ,此毒为一款类似灰鸽子的远程控制程序。它主要是借助下载器的下载,以及捆绑于别的程序中混入电脑。如果顺利运行,就与远程黑客服务器连接,帮助黑客控制电脑。“非法远程连接工具”(win32.troj.smallt.rv.61440)的感染量并不高,但它具有一定的代表性。毒霸云安全系统最近监测到的数据显示,盗号木马的传播量越来越小,病毒团伙转而投入传播远程控制程序。win32.troj.smallt.rv.61440就是这些远控程序中的一个。它的行为十分老套,当进入系统后就自我解压,然后添加注册表启动项,以后每次开机后它都会自动连接黑客服务器,收发黑客指令,将用户电脑变为肉鸡。虽然“非法远程连接工具”(win32.troj.smallt.rv.61440)本身的感染量不大,但像它这样的远控木马比较多,因此在总量上是非常值得注意的。 二、针对以上病毒,比特网安全频道建议广大用户: 1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。 3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。 截至记者发稿时止,江民、金山的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸为比特网安全频道提供病毒信息。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
