病毒周报(080505至080511)
2008-05-05 18:43
211 查看
病毒周报(080428至080504)[b]动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报牵手广州市计算机信息网络安全协会(www.cinsa.cn)发布:
本周重点关注病毒:
[/b]AUTO分身下载器70144”(Worm.Delf.az.70144) 威胁级别:★★
这个病毒是一个下载器,由于使用了AUTO技术,它的传播能力较高。该毒进入系统后,立刻在系统盘%WINDOWS%\System32\目录下释放出病毒文件Extensionsk.exe,并将该文件复制到所有的磁盘分区根目录下,同时生成的还有指向该文件的autorun.inf文件。只要有了这两个文件,该病毒也就具备了AUTO传播的能力。如果用户在中毒电脑上使用U盘等移动存储设备,病毒就能自动复制到该设备中。
接下来,病毒会修改系统注册表,将Extensionsk.exe设置为启动项,实现开机自动运行。只要实现这一步,病毒会马上把系统时间改为2005-10-31,让依赖系统时间进行激活和升级的安全软件瘫痪,并添加映像劫持项目,劫持目前较为常见品牌的杀毒软件,让它们失效。如果用户试图启动这些杀毒软件,只会不断激活病毒。
然后,病毒试图连接病毒作者指定的远程服务器http://www.h***ui.org/UpFile/UpFace,下载其它病毒文件到用户电脑中运行。
在进行以上动作的同时,病毒会删除自己的原始文件,防止被用户找到。并建立两个svchost.exe进程,将自身的病毒代码写入其中运行。这两个svchost.exe会互相监视对方,互为防守,这样一来,用户就算删除掉其中一个,另一个也能瞬间进行恢复。
“核桃壳下载器44032”(Win32.TrojDownloader.Homles.bh.44032) 威胁级别:★★
这是一个原理普通的木马下载器,为了对抗安全软件的查杀,病毒作者给它设置了多层加壳,并故意加入大量垃圾代码。
病毒进入系统后,在系统盘的%WINDOWS%目录下释放出病毒文件mrofinu.exe,并在注册表下添加病毒版本等信息。随后,病毒会根据这些信息判断自身是否是最新版本,如不是新版本,则到地址http://pmg73.a1.wrs.*****.com/下载新版本运行。
在运行的后期,病毒悄悄连接病毒作者指定的远程服务器http://wr.*****.com/retadpu.php?,读取一份病毒下载列表,然后根据列表中的地址下载更多其它病毒到用户电脑里运行。
“感染蠕虫下载器995328”(Worm.AutoRun.dj.995328) 威胁级别:★★
这个蠕虫病毒和它的同类相比,基本原理相近,都是利用感染正常文件的方式实现传播。它本身对系统不具备破坏能力,真正危害在于,该毒在进入系统后,会连接病毒作者指定的地址,下载更多的病毒文件。
病毒随着被感染的文件进入用户系统,它在系统盘的创建目录%windows%目录下创造出一个“Tasks”目录,然后将病毒文件0x01xx8p.exe、spoolsv.ext、SysFile.brk释放到其中,同时在%WINDOWS%目录中生成病毒文件spoolsv.exe。完成这一步骤,病毒就删除自己的原始文件,让用户难以发现它的痕迹。
接下来,病毒搜索exe格式文件,将要感染的病毒代码赋值到缓存,把被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。这样,它就能随着该文件的复制实现传播。与此同时,病毒遍历进程,查找并试图强行关闭金山毒霸、江民、瑞星等杀毒软件的进程。
最后,病毒读取之前释放出的下载列表spoolsv.ext,在用户无法察觉的情况下连接远程服务器http://2**p.cn/,下载大量其它病毒和最新的配置文件,从而实现真正的破坏。
“蠕虫下载器18944”(Worm.Delf.el.18944) 威胁级别:★
这个利用AUTO文件进行传播的病毒,近来传播趋势较高。
病毒进入用户的系统后,会把自身病毒文件ad_2516.exe和Transfer Sebvice.exe复制到系统盘的%WINDOWS%\system32\目录下,并将其属性设为系统隐藏文件,以免被用户发现。紧接着,它就搜索杀毒软件卡巴斯基的进程,如果找到,立即修改系统时间为1981-01-12,导致卡巴斯基失效,然后,病毒就会试图删除卡巴斯基的服务。
病毒修改系统注册表,把自己的相关信息加入启动项。同时,它还会伪装成卡巴斯基7.0的服务程序。从修改时间时算起,15秒后病毒恢复正确的系统时间,这样,病毒就顺利替换了卡巴的,而用户一无所知。
病毒顺利地开始运行后,在后台建立远程连接,从木马作者指定的地址http://xxx.a***55.com/txt071217/下载大量其它木马文件,并立刻运行它们。同时,病毒将自身文件Transfer Sebvice.exe复制到各磁盘的根目录下,并创建autorun.inf文件,只要用户在中毒电脑上使用U盘等移动存储器,病毒就会立刻将其传染,扩大感染范围。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询本文出自 “木马屠夫” 博客,请务必保留此出处http://kingzoo.blog.51cto.com/246280/75148
本周重点关注病毒:
[/b]AUTO分身下载器70144”(Worm.Delf.az.70144) 威胁级别:★★
这个病毒是一个下载器,由于使用了AUTO技术,它的传播能力较高。该毒进入系统后,立刻在系统盘%WINDOWS%\System32\目录下释放出病毒文件Extensionsk.exe,并将该文件复制到所有的磁盘分区根目录下,同时生成的还有指向该文件的autorun.inf文件。只要有了这两个文件,该病毒也就具备了AUTO传播的能力。如果用户在中毒电脑上使用U盘等移动存储设备,病毒就能自动复制到该设备中。
接下来,病毒会修改系统注册表,将Extensionsk.exe设置为启动项,实现开机自动运行。只要实现这一步,病毒会马上把系统时间改为2005-10-31,让依赖系统时间进行激活和升级的安全软件瘫痪,并添加映像劫持项目,劫持目前较为常见品牌的杀毒软件,让它们失效。如果用户试图启动这些杀毒软件,只会不断激活病毒。
然后,病毒试图连接病毒作者指定的远程服务器http://www.h***ui.org/UpFile/UpFace,下载其它病毒文件到用户电脑中运行。
在进行以上动作的同时,病毒会删除自己的原始文件,防止被用户找到。并建立两个svchost.exe进程,将自身的病毒代码写入其中运行。这两个svchost.exe会互相监视对方,互为防守,这样一来,用户就算删除掉其中一个,另一个也能瞬间进行恢复。
“核桃壳下载器44032”(Win32.TrojDownloader.Homles.bh.44032) 威胁级别:★★
这是一个原理普通的木马下载器,为了对抗安全软件的查杀,病毒作者给它设置了多层加壳,并故意加入大量垃圾代码。
病毒进入系统后,在系统盘的%WINDOWS%目录下释放出病毒文件mrofinu.exe,并在注册表下添加病毒版本等信息。随后,病毒会根据这些信息判断自身是否是最新版本,如不是新版本,则到地址http://pmg73.a1.wrs.*****.com/下载新版本运行。
在运行的后期,病毒悄悄连接病毒作者指定的远程服务器http://wr.*****.com/retadpu.php?,读取一份病毒下载列表,然后根据列表中的地址下载更多其它病毒到用户电脑里运行。
“感染蠕虫下载器995328”(Worm.AutoRun.dj.995328) 威胁级别:★★
这个蠕虫病毒和它的同类相比,基本原理相近,都是利用感染正常文件的方式实现传播。它本身对系统不具备破坏能力,真正危害在于,该毒在进入系统后,会连接病毒作者指定的地址,下载更多的病毒文件。
病毒随着被感染的文件进入用户系统,它在系统盘的创建目录%windows%目录下创造出一个“Tasks”目录,然后将病毒文件0x01xx8p.exe、spoolsv.ext、SysFile.brk释放到其中,同时在%WINDOWS%目录中生成病毒文件spoolsv.exe。完成这一步骤,病毒就删除自己的原始文件,让用户难以发现它的痕迹。
接下来,病毒搜索exe格式文件,将要感染的病毒代码赋值到缓存,把被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。这样,它就能随着该文件的复制实现传播。与此同时,病毒遍历进程,查找并试图强行关闭金山毒霸、江民、瑞星等杀毒软件的进程。
最后,病毒读取之前释放出的下载列表spoolsv.ext,在用户无法察觉的情况下连接远程服务器http://2**p.cn/,下载大量其它病毒和最新的配置文件,从而实现真正的破坏。
“蠕虫下载器18944”(Worm.Delf.el.18944) 威胁级别:★
这个利用AUTO文件进行传播的病毒,近来传播趋势较高。
病毒进入用户的系统后,会把自身病毒文件ad_2516.exe和Transfer Sebvice.exe复制到系统盘的%WINDOWS%\system32\目录下,并将其属性设为系统隐藏文件,以免被用户发现。紧接着,它就搜索杀毒软件卡巴斯基的进程,如果找到,立即修改系统时间为1981-01-12,导致卡巴斯基失效,然后,病毒就会试图删除卡巴斯基的服务。
病毒修改系统注册表,把自己的相关信息加入启动项。同时,它还会伪装成卡巴斯基7.0的服务程序。从修改时间时算起,15秒后病毒恢复正确的系统时间,这样,病毒就顺利替换了卡巴的,而用户一无所知。
病毒顺利地开始运行后,在后台建立远程连接,从木马作者指定的地址http://xxx.a***55.com/txt071217/下载大量其它木马文件,并立刻运行它们。同时,病毒将自身文件Transfer Sebvice.exe复制到各磁盘的根目录下,并创建autorun.inf文件,只要用户在中毒电脑上使用U盘等移动存储器,病毒就会立刻将其传染,扩大感染范围。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询本文出自 “木马屠夫” 博客,请务必保留此出处http://kingzoo.blog.51cto.com/246280/75148
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 病毒周报(100621至100627)
- 病毒周报(091123至091129)
- 病毒周报(100201至100207)
- 病毒周报(071224至071230)
- 病毒周报(071231至080106)
- 病毒周报(080114至080120)
- 病毒周报(080128至080203)
- 病毒周报(080609至080615)
- 病毒周报(080721至080727)
- 病毒周报(080728至080803)
- 病毒周报(100712至100718)
- 病毒周报(091207至091213)
- 病毒周报(100111至100117)
- 病毒周报(100301至100307)
- 病毒周报(071126至071202)
- 病毒周报(080331至080406)
- 病毒周报(080519至080525)
- 病毒周报(080106至081012)
- 病毒周报(100517至100523)
- 病毒周报(100705至100711)