注册
登录
| 关键词: 变种 病毒 系统 用户 邮件 system 危鬼” 文件 骗子 组件 |
黑基网今日提醒您注意:在今天的病毒中Trojan/Vilsel。axp“危鬼”变种axp和Trojan/DNSSmokva。am“DNS骗子”变种am值得关注。 一、今日高危病毒简介及中毒现象描述: Trojan/Vilsel。axp“危鬼”变种axp是“危鬼”家族中的最新成员之一,采用“MicrosoftVisualC++”编写,经过加壳保护处理。“危鬼”变种axp运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下创建恶意DLL组件“kb*。dll”(8位随机数),在系统临时文件夹“%USERPROFILE%\LocalSettings\Temp\”下创建两个临时文件,同时还会创建配置文件“%SystemRoot%\system32\wsconfig。db”和“%SystemRoot%\system32\dllcache\bmtpws31。dat”。“危鬼”变种axp会把系统文件“C:\WINDOWS\system32\imm32。dll”备份为“C:\WINDOWS\system32\imm32。dll。bak”,之后关闭系统文件保护功能,并修改“imm32。dll”文件的入口代码,以此实现调用病毒组件的目的。在执行病毒组件的同时,其仍会执行系统组件自身的功能,以此增强了自身的隐蔽性。“危鬼”变种axp释放的DLL是一个专门盗取“梦幻诛仙”网络游戏会员账号的木马程序,其会在被感染系统的后台秘密监视用户系统中运行的所有应用程序的窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的页面“http://denglu。foxye**oxox。com:8085/lin。asp”上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“危鬼”变种axp在安装完毕后会将自我删除,以此消除痕迹。 Trojan/DNSSmokva。am“DNS骗子”变种am是“DNS骗子”家族中的最新成员之一。“DNS骗子”变种am会通过修改注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”下相关键值的方式,实现篡改系统DNS设置的目的。其会将“本地连接”的DNS服务器地址设置为“85。255。*。85”(首选)和“85。255。112。236”(备用),当被感染系统用户在提交域名时,可能会被该DNS服务器进行恶意解析,从而被引导至恶意站点上,致使用户面临极大的风险和威胁。 二、针对以上病毒,黑基网建议广大用户: 1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。 3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
