病毒周报(080121至080127)
2008-01-21 09:46
363 查看
动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报牵手广州市计算机信息网络安全协会(www.cinsa.cn)发布:
本周重点关注病毒:
“纵火狐狸精”(Win32.Magni.a.18944) 威胁级别:★★
病毒进入用户系统后,在系统盘的%Program Files%\Common Files\Microsoft Shared\Speech\目录下释放出病毒文件taskmgr.exe和dlg.dll,在%WINDOWS%\system32\spool\目录下释放出冒充成杀软“卡巴斯基”的病毒文件KAV.log。随后,它修改注册表,将自己添加到开始菜单启动项的“Documents and Settings\All Users\「开始」菜单\程序\启动\protect.exe”路径下,实现开机自启动之目的。
病毒会修改注册表中关于文件显示属性的相关数据,使得文件夹选项中的“显示所有文件和文件夹”一项消失。这样,如果它以后生成的病毒文件中有具隐藏属性的,用户也将无法发现它们。然后,病毒迅速强行关闭用户系统中的安全软件,使自己以后都能为所欲为。包括卡巴斯基、瑞星、超级巡警、麦咖啡在内的大部分著名安全软件都是它的关闭目标。
解决掉安全软件后,病毒便开始进行感染。它会感染除系统目录外的exe、com、scr文件,所有被感染文件图标变为放大镜。病毒会在文件尾部加上字符串“firefox”作为感染标记,避免自己浪费时间进行二次感染,以提高破坏效率。被感染文件运行后,会将原始文件释放到当前目录,并在文件名后加上“#”,且设为隐藏属性。长此以往,用户的系统资源就会被占用。
碰到这种情况,一些用户可能会试图使用GHOST来进行修复,但很不幸,此病毒作案已经删除了所有GHOST系统备份文件。最后,病毒悄悄建立远程连接,从“http://www.4**m.i*v.tw/20**lib/eng/Image”这个由木马种植者指定的地址下载大量病毒文件到用户电脑上运行,给用户带来无法估计的更大破坏。同时,为扩大自己的传播范围,病毒还在各盘中生成AUTO病毒folder.exe文件和autorun.inf辅助文件,只要用户在中毒电脑上使用U盘等移动设备,病毒就会立即将其传染。
“黑客工具45056”(Win32.Troj.Ring0.c.45056) 威胁级别:★★
病毒顺利潜入用户电脑后,会在系统盘的%WINDOWS%\system32\drivers\目录下释放出病毒文件Ring0.sys,然后就修改注册表,将自己的相关数据加入启动项,实现开机自启动。
为避免被用户发现,病毒还会伪装成为WINDOWS操作系统核心保护结构的驱动程序。如果检查进程,可发现多出了一个名为“NT Ring0 Driver”的进程,这就是该病毒了。
当病毒开始运行,它就会查找用户电脑上已安装的还原卡,然后破解其的密码,使木马种植者(黑客)顺利读写被保护的系统设备,造成受保护信息的泄露,给用户带来损失。
“下载者老鹰号”(win32.troj.downloader.ly.9216) 威胁级别:★★
病毒进入用户的电脑系统后,在系统盘%windows%目录下释放出SSLDyn、upxdnd、AVPSrv等近十个EXE格式的病毒文件,并修改注册表,把这些文件的相关数据写入启动项,达到随系统启动之目的。
病毒在瞬间即可完成以上动作,紧接着,它在用户无法察觉的情况下,以恶鹰扑食般的速度建立远程连接,从多个由病毒作者指定的网址下载30多个病毒文件,并将它们藏在系统盘的%Documents and Settings%\test\Local Settings\Temporary Internet Files\Content.IE5\目录,也就是IE浏览器的缓存目录中,这些病毒大部分是针对目前流行网游的盗号木马。
它还会下载数量繁多的DLL格式的病毒文件,并藏在%windows%\system32\目录下。此外,该毒会释放两个驱动文件在%windows%\system32\drivers目录下,分别是msaclue.sys和msacpe.sys。
需注意的是,此病毒对系统并不构成直接破坏,但在它发作时,用户的系统资源会被严重占用,电脑运行速度将骤然降低到用户无法忍受的地步。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
本文出自 “木马屠夫” 博客,转载请与作者联系!
本周重点关注病毒:
“纵火狐狸精”(Win32.Magni.a.18944) 威胁级别:★★
病毒进入用户系统后,在系统盘的%Program Files%\Common Files\Microsoft Shared\Speech\目录下释放出病毒文件taskmgr.exe和dlg.dll,在%WINDOWS%\system32\spool\目录下释放出冒充成杀软“卡巴斯基”的病毒文件KAV.log。随后,它修改注册表,将自己添加到开始菜单启动项的“Documents and Settings\All Users\「开始」菜单\程序\启动\protect.exe”路径下,实现开机自启动之目的。
病毒会修改注册表中关于文件显示属性的相关数据,使得文件夹选项中的“显示所有文件和文件夹”一项消失。这样,如果它以后生成的病毒文件中有具隐藏属性的,用户也将无法发现它们。然后,病毒迅速强行关闭用户系统中的安全软件,使自己以后都能为所欲为。包括卡巴斯基、瑞星、超级巡警、麦咖啡在内的大部分著名安全软件都是它的关闭目标。
解决掉安全软件后,病毒便开始进行感染。它会感染除系统目录外的exe、com、scr文件,所有被感染文件图标变为放大镜。病毒会在文件尾部加上字符串“firefox”作为感染标记,避免自己浪费时间进行二次感染,以提高破坏效率。被感染文件运行后,会将原始文件释放到当前目录,并在文件名后加上“#”,且设为隐藏属性。长此以往,用户的系统资源就会被占用。
碰到这种情况,一些用户可能会试图使用GHOST来进行修复,但很不幸,此病毒作案已经删除了所有GHOST系统备份文件。最后,病毒悄悄建立远程连接,从“http://www.4**m.i*v.tw/20**lib/eng/Image”这个由木马种植者指定的地址下载大量病毒文件到用户电脑上运行,给用户带来无法估计的更大破坏。同时,为扩大自己的传播范围,病毒还在各盘中生成AUTO病毒folder.exe文件和autorun.inf辅助文件,只要用户在中毒电脑上使用U盘等移动设备,病毒就会立即将其传染。
“黑客工具45056”(Win32.Troj.Ring0.c.45056) 威胁级别:★★
病毒顺利潜入用户电脑后,会在系统盘的%WINDOWS%\system32\drivers\目录下释放出病毒文件Ring0.sys,然后就修改注册表,将自己的相关数据加入启动项,实现开机自启动。
为避免被用户发现,病毒还会伪装成为WINDOWS操作系统核心保护结构的驱动程序。如果检查进程,可发现多出了一个名为“NT Ring0 Driver”的进程,这就是该病毒了。
当病毒开始运行,它就会查找用户电脑上已安装的还原卡,然后破解其的密码,使木马种植者(黑客)顺利读写被保护的系统设备,造成受保护信息的泄露,给用户带来损失。
“下载者老鹰号”(win32.troj.downloader.ly.9216) 威胁级别:★★
病毒进入用户的电脑系统后,在系统盘%windows%目录下释放出SSLDyn、upxdnd、AVPSrv等近十个EXE格式的病毒文件,并修改注册表,把这些文件的相关数据写入启动项,达到随系统启动之目的。
病毒在瞬间即可完成以上动作,紧接着,它在用户无法察觉的情况下,以恶鹰扑食般的速度建立远程连接,从多个由病毒作者指定的网址下载30多个病毒文件,并将它们藏在系统盘的%Documents and Settings%\test\Local Settings\Temporary Internet Files\Content.IE5\目录,也就是IE浏览器的缓存目录中,这些病毒大部分是针对目前流行网游的盗号木马。
它还会下载数量繁多的DLL格式的病毒文件,并藏在%windows%\system32\目录下。此外,该毒会释放两个驱动文件在%windows%\system32\drivers目录下,分别是msaclue.sys和msacpe.sys。
需注意的是,此病毒对系统并不构成直接破坏,但在它发作时,用户的系统资源会被严重占用,电脑运行速度将骤然降低到用户无法忍受的地步。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
本文出自 “木马屠夫” 博客,转载请与作者联系!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 病毒周报(091123至091129)
- 病毒周报(100201至100207)
- 病毒周报(100621至100627)
- 病毒周报(071224至071230)
- 病毒周报(071231至080106)
- 病毒周报(080114至080120)
- 病毒周报(080331至080406)
- 病毒周报(080609至080615)
- 病毒周报(080721至080727)
- 病毒周报(080728至080803)
- 病毒周报(091207至091213)
- 病毒周报(100111至100117)
- 病毒周报(100301至100307)
- 病毒周报(100712至100718)
- 病毒周报(080106至081012)
- 病毒周报(071126至071202)
- 病毒周报(080519至080525)
- 病毒周报(100125至100131)
- 病毒周报(100517至100523)
- 病毒周报(100705至100711)