病毒周报(080602至080608)
2008-06-02 09:57
232 查看
病毒周报(080428至080504)动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报牵手广州市计算机信息网络安全协会(www.cinsa.cn)发布:
本周重点关注病毒:
"非法扫描仪747520”(Win32.Troj.Agent.bw.747520) 威胁级别:★★
这个病毒是个黑客程序,黑客可以借助它对用户的系统进行非法扫描,并实现对用户电脑的完全控制。它本身的技术含量并不高,但近来传播范围较大
病毒在进入系统并被激活后,就会复制自己的文件LVScom.exe到系统盘的%WINDOWS%\system32\目录中,然后删除原始文件,防止用户发现系统中出现多余的文件。接着,它就在注册表中添加自己的多个启动项,实现开机自启动。
最后,病毒自动连接某病毒作者指定的地址,接受指定的指令后,对中毒电脑进行非法扫描。然后按照指令的不同,执行不同的操作。由于指令可以是多样的,病毒作者(黑客)也就可以对中毒电脑进行任何他想要的操作。
“MS06-014漏洞下载器1792”(JS.Downloader.qw.1792) 威胁级别:★★
近来漏洞利用脚本病毒数量增加较快,而其中关于MDAC的漏洞脚本占了大多数。所谓的MDAC(Microsoft Data Access Components)是微软数据库访问组件,它广泛存在于安装有WINDOWS操作系统的用户的电脑中。
脚本病毒的体积小,可利用感染数据库文件和网页挂马等方式传播,传染速度较快。如果用户利用未打上MS06-014安全补丁的电脑浏览网页或运行含毒文件,漏洞脚本病毒就可以在系统中运行起来。
它运行后会在后台连接病毒作者指定的远程地址http://www.d**io.com/,下载一个名为Microsoft.com的木马程序到本地临时文件夹%tmp%中执行。由于采用Microsoft.com这个名字,很多用户会忽略它。
“黑客后门程序20480”(Win32.Hack.Pangu.a.20480) 威胁级别:★★
这个后门程序会将自己的相关数据添加到系统注册表中,创建服务gu7788gu来加载文件,使自己能够随系统启动。
为了欺骗用户,服务gu7788gu的描述信息是“客户端和服务器之间的 net send 和 alerter 服务消息。此服务与 windows messenger 无关。如果服务停止,alerter 消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动”
同时,病毒修改系统注册表,将自身添加到windows防火墙的例外列表中,这样它就可以绕开系统安全模块的封锁,与外部网络自由通讯。
完成以上步骤后,病毒就删除自己的原始文件,防止用户察觉系统中出现多余的东西。并连接远程端口61.1*8.*8.1*4:8001,等待病毒作者(黑客)的控制指令。
手动杀毒则可以在%WINDOWS%\system32\目录下找到病毒文件notepde.exe。
“播放器漏洞脚本2136”(JS.Agent.tv.2136) 威胁级别:★★
从数周前开始,RealPlayer的漏洞利用病毒数量开始异常增多,动物家园反病毒斗士几乎每天都能截获到大量利用RealPlayer漏洞进行破坏的脚本病毒,相信这种情况与病毒制作集团不断开发新的病毒生成器有较大关系。
此篇预警播报中的病毒是众多RealPlayer漏洞利用脚本病毒中的一个变种,它和其它变种一样,都是利用网页挂马和捆绑视频文件的方式进行传播。只要用户浏览被挂马的网站,或者播放了含毒视频文件,病毒就可以在用户系统中发作。
病毒运行起来后在后台建立远程连接,从病毒作者指定的地址http://www.d**io.com下载一个病毒文件,并保存到系统盘的%WINDOWS\system32\目录下,命名为%a.exe。
受此毒影响的RealPlayer版本为6.0.10.4,安装得有该版本的用户请尽快下载升级文件
“肉鸡猎人81920”(Win32.Troj.Downloader.vb.81920) 威胁级别:★★
病毒进入系统后,在系统盘中释放出大量的病毒文件,其中病毒主文件SoundMan.exe隐藏在%WINDOWS%目录中,而%WINDOWS%\system32\目录下则隐藏着interne.exe、Man.exe、qoq.exe、no1.ini、notepde.exe、note2.ini、ttjj5.ini等。
病毒修改注册表,以最快的速度完成对冰刃、木马克星、360安全卫士的映像劫持,使它们无法运行。病毒还试图劫持毒霸的进程,不过经检验无法成功。另外,它还会劫持系统的输入法模块和资源管理器,令用户无法手动查杀病毒和通过本机向外求援。除了映像劫持外,病毒也通过关闭进程、修改系统时间的方法来破坏其它多家知名安全软件的正常运行。
接着,病毒建立一个新的系统帐户,设法获得全部用户组的管理权限,让用户几乎完全无法操作电脑。在此之后,病毒就连接到病毒作者指定的远程地址,下载大量盗号木马到用户电脑中运行,把用户偷个一干二净。
偷完东西后,病毒不会就此停止运行。它会建立扫描程序,对用户系统的一些敏感端口进行扫描等行为,将用户电脑变成任由病毒作者(黑客)控制的“肉鸡”。并且,如果中毒电脑位于局域网中,病毒还会试图把自己传染到其它正常的电脑上,扩大自己的传染范围。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询本文出自 “木马屠夫” 博客,请务必保留此出处http://kingzoo.blog.51cto.com/246280/79872
本周重点关注病毒:
"非法扫描仪747520”(Win32.Troj.Agent.bw.747520) 威胁级别:★★
这个病毒是个黑客程序,黑客可以借助它对用户的系统进行非法扫描,并实现对用户电脑的完全控制。它本身的技术含量并不高,但近来传播范围较大
病毒在进入系统并被激活后,就会复制自己的文件LVScom.exe到系统盘的%WINDOWS%\system32\目录中,然后删除原始文件,防止用户发现系统中出现多余的文件。接着,它就在注册表中添加自己的多个启动项,实现开机自启动。
最后,病毒自动连接某病毒作者指定的地址,接受指定的指令后,对中毒电脑进行非法扫描。然后按照指令的不同,执行不同的操作。由于指令可以是多样的,病毒作者(黑客)也就可以对中毒电脑进行任何他想要的操作。
“MS06-014漏洞下载器1792”(JS.Downloader.qw.1792) 威胁级别:★★
近来漏洞利用脚本病毒数量增加较快,而其中关于MDAC的漏洞脚本占了大多数。所谓的MDAC(Microsoft Data Access Components)是微软数据库访问组件,它广泛存在于安装有WINDOWS操作系统的用户的电脑中。
脚本病毒的体积小,可利用感染数据库文件和网页挂马等方式传播,传染速度较快。如果用户利用未打上MS06-014安全补丁的电脑浏览网页或运行含毒文件,漏洞脚本病毒就可以在系统中运行起来。
它运行后会在后台连接病毒作者指定的远程地址http://www.d**io.com/,下载一个名为Microsoft.com的木马程序到本地临时文件夹%tmp%中执行。由于采用Microsoft.com这个名字,很多用户会忽略它。
“黑客后门程序20480”(Win32.Hack.Pangu.a.20480) 威胁级别:★★
这个后门程序会将自己的相关数据添加到系统注册表中,创建服务gu7788gu来加载文件,使自己能够随系统启动。
为了欺骗用户,服务gu7788gu的描述信息是“客户端和服务器之间的 net send 和 alerter 服务消息。此服务与 windows messenger 无关。如果服务停止,alerter 消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动”
同时,病毒修改系统注册表,将自身添加到windows防火墙的例外列表中,这样它就可以绕开系统安全模块的封锁,与外部网络自由通讯。
完成以上步骤后,病毒就删除自己的原始文件,防止用户察觉系统中出现多余的东西。并连接远程端口61.1*8.*8.1*4:8001,等待病毒作者(黑客)的控制指令。
手动杀毒则可以在%WINDOWS%\system32\目录下找到病毒文件notepde.exe。
“播放器漏洞脚本2136”(JS.Agent.tv.2136) 威胁级别:★★
从数周前开始,RealPlayer的漏洞利用病毒数量开始异常增多,动物家园反病毒斗士几乎每天都能截获到大量利用RealPlayer漏洞进行破坏的脚本病毒,相信这种情况与病毒制作集团不断开发新的病毒生成器有较大关系。
此篇预警播报中的病毒是众多RealPlayer漏洞利用脚本病毒中的一个变种,它和其它变种一样,都是利用网页挂马和捆绑视频文件的方式进行传播。只要用户浏览被挂马的网站,或者播放了含毒视频文件,病毒就可以在用户系统中发作。
病毒运行起来后在后台建立远程连接,从病毒作者指定的地址http://www.d**io.com下载一个病毒文件,并保存到系统盘的%WINDOWS\system32\目录下,命名为%a.exe。
受此毒影响的RealPlayer版本为6.0.10.4,安装得有该版本的用户请尽快下载升级文件
“肉鸡猎人81920”(Win32.Troj.Downloader.vb.81920) 威胁级别:★★
病毒进入系统后,在系统盘中释放出大量的病毒文件,其中病毒主文件SoundMan.exe隐藏在%WINDOWS%目录中,而%WINDOWS%\system32\目录下则隐藏着interne.exe、Man.exe、qoq.exe、no1.ini、notepde.exe、note2.ini、ttjj5.ini等。
病毒修改注册表,以最快的速度完成对冰刃、木马克星、360安全卫士的映像劫持,使它们无法运行。病毒还试图劫持毒霸的进程,不过经检验无法成功。另外,它还会劫持系统的输入法模块和资源管理器,令用户无法手动查杀病毒和通过本机向外求援。除了映像劫持外,病毒也通过关闭进程、修改系统时间的方法来破坏其它多家知名安全软件的正常运行。
接着,病毒建立一个新的系统帐户,设法获得全部用户组的管理权限,让用户几乎完全无法操作电脑。在此之后,病毒就连接到病毒作者指定的远程地址,下载大量盗号木马到用户电脑中运行,把用户偷个一干二净。
偷完东西后,病毒不会就此停止运行。它会建立扫描程序,对用户系统的一些敏感端口进行扫描等行为,将用户电脑变成任由病毒作者(黑客)控制的“肉鸡”。并且,如果中毒电脑位于局域网中,病毒还会试图把自己传染到其它正常的电脑上,扩大自己的传染范围。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询本文出自 “木马屠夫” 博客,请务必保留此出处http://kingzoo.blog.51cto.com/246280/79872
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 病毒周报(091123至091129)
- 病毒周报(100201至100207)
- 病毒周报(100621至100627)
- 病毒周报(071224至071230)
- 病毒周报(071231至080106)
- 病毒周报(080114至080120)
- 病毒周报(080128至080203)
- 病毒周报(080609至080615)
- 病毒周报(080721至080727)
- 病毒周报(080728至080803)
- 病毒周报(091207至091213)
- 病毒周报(100111至100117)
- 病毒周报(100301至100307)
- 病毒周报(100712至100718)
- 病毒周报(071126至071202)
- 病毒周报(080331至080406)
- 病毒周报(080106至081012)
- 病毒周报(100125至100131)
- 病毒周报(100517至100523)
- 病毒周报(100705至100711)