病毒周报(080825至080831)
2008-08-25 09:28
204 查看
动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报牵手广州市计算机信息网络安全协会(www.cinsa.cn)发布:
本周重点关注病毒:
“伪杀软下载器225280”(Win32.TrojDownloader.Zlob.225280) 威胁级别:★★
该毒进入系统后,首先会检查感染的机器是否是WINDOWS操作系统,若不是则在临时目录上创建脚本,删除自己。如果是WINDOWS系统,它就释放在%Program Files%\Web Technologies\目录下释放出一个iebr.dll文件,并将其加入注册表启动项,实现自己的开机自启动。
当病毒运行起来,它就判断用户使用的浏览器是什么种类,并添加对应的工具条。这个动作完成后,一些网站就会被禁止访问。这些被禁止访问的网站,一些是安全软件厂商的,一些是其它间谍软件的下载网站。由此看来,此下载器的作者既害怕安全厂商,又很讨厌同行的竞争对手。
最后,此毒会令用户的浏览器弹出病毒作者指定的网址www.s***refr****nks.com,进入网页后,会弹出窗口提示用户说在用户电脑上发现病毒,必须立刻下载一个名为Antispyware2008 online scanner 的“杀毒软件”,如果用户不选择下载,提示窗口就无法关闭。
经动物家园反病毒斗士检查,所谓的安全检查窗口其实是个flash 动画文件,无论用户系统中是否有病毒,它都会提示同样的信息。至于它要求用户下载的“杀毒软件”,其实是个间谍软件,会收集用户电脑里的敏感数据。
“灰鸽子变种679936”(Win32.Hack.Huigezi2007.679936) 威胁级别:★★
此木马是的主要威胁行为是它能协助黑客对用户电脑进行远程控制。它在用户系统中运行起来后,就会启动IE浏览器的进程,在后台悄悄地访问IP查询网站,获得用户电脑的IP信息,然后反向连接病毒作者指定的远程服务器(黑客控制端)。
连接成功后,此木马就监视用户的操作和网络访问情况,并等待黑客控制端发出的指令。利用该木马制造的后门,黑客可以对用户系统进行任何想要的控制。
该木马的文件被隐藏在%windows%目录下,名为systme.txt。它会被写入注册表,注册为服务启动。为蒙蔽用户,它给自己取的服务名为Protected Storag,服务描述为“提供对敏感数据(如私钥)的保护性存储”。习惯手动查杀的用户可对此留意。
当运行完成后,此木马就释放一个BAT文件,删除自己的原始文件。
“针孔下载器196608”(Win32.TrojDownloader.small.196608) 威胁级别:★★
这个下载器具有较强的对抗能力。它一进入系统,就会检查是否存在ProtectC.sys、XsMenu.exe、GuardField等还原保护软件,如发现,就利用自己的驱动文件突破它们的防御。
病毒自带有一个比较庞大的劫持名单,里面包括了金山毒霸、赛门铁克、瑞星、卡巴斯基等很多常见安全软件厂商的产品,病毒会尝试映像劫持它们。如果劫持成功,这些安全软件就会瘫痪,当用户试图运行它们时,只可能不断激活病毒体而已。
当顺利解除了用户电脑系统的防御,这个下载器便悄悄连接到病毒作者指定的远程地址,下载一份下载列表,根据其中的地址去下载更多其它病毒文件,大部分病毒都是网游盗号木马。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
本周重点关注病毒:
“伪杀软下载器225280”(Win32.TrojDownloader.Zlob.225280) 威胁级别:★★
该毒进入系统后,首先会检查感染的机器是否是WINDOWS操作系统,若不是则在临时目录上创建脚本,删除自己。如果是WINDOWS系统,它就释放在%Program Files%\Web Technologies\目录下释放出一个iebr.dll文件,并将其加入注册表启动项,实现自己的开机自启动。
当病毒运行起来,它就判断用户使用的浏览器是什么种类,并添加对应的工具条。这个动作完成后,一些网站就会被禁止访问。这些被禁止访问的网站,一些是安全软件厂商的,一些是其它间谍软件的下载网站。由此看来,此下载器的作者既害怕安全厂商,又很讨厌同行的竞争对手。
最后,此毒会令用户的浏览器弹出病毒作者指定的网址www.s***refr****nks.com,进入网页后,会弹出窗口提示用户说在用户电脑上发现病毒,必须立刻下载一个名为Antispyware2008 online scanner 的“杀毒软件”,如果用户不选择下载,提示窗口就无法关闭。
经动物家园反病毒斗士检查,所谓的安全检查窗口其实是个flash 动画文件,无论用户系统中是否有病毒,它都会提示同样的信息。至于它要求用户下载的“杀毒软件”,其实是个间谍软件,会收集用户电脑里的敏感数据。
“灰鸽子变种679936”(Win32.Hack.Huigezi2007.679936) 威胁级别:★★
此木马是的主要威胁行为是它能协助黑客对用户电脑进行远程控制。它在用户系统中运行起来后,就会启动IE浏览器的进程,在后台悄悄地访问IP查询网站,获得用户电脑的IP信息,然后反向连接病毒作者指定的远程服务器(黑客控制端)。
连接成功后,此木马就监视用户的操作和网络访问情况,并等待黑客控制端发出的指令。利用该木马制造的后门,黑客可以对用户系统进行任何想要的控制。
该木马的文件被隐藏在%windows%目录下,名为systme.txt。它会被写入注册表,注册为服务启动。为蒙蔽用户,它给自己取的服务名为Protected Storag,服务描述为“提供对敏感数据(如私钥)的保护性存储”。习惯手动查杀的用户可对此留意。
当运行完成后,此木马就释放一个BAT文件,删除自己的原始文件。
“针孔下载器196608”(Win32.TrojDownloader.small.196608) 威胁级别:★★
这个下载器具有较强的对抗能力。它一进入系统,就会检查是否存在ProtectC.sys、XsMenu.exe、GuardField等还原保护软件,如发现,就利用自己的驱动文件突破它们的防御。
病毒自带有一个比较庞大的劫持名单,里面包括了金山毒霸、赛门铁克、瑞星、卡巴斯基等很多常见安全软件厂商的产品,病毒会尝试映像劫持它们。如果劫持成功,这些安全软件就会瘫痪,当用户试图运行它们时,只可能不断激活病毒体而已。
当顺利解除了用户电脑系统的防御,这个下载器便悄悄连接到病毒作者指定的远程地址,下载一份下载列表,根据其中的地址去下载更多其它病毒文件,大部分病毒都是网游盗号木马。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 病毒周报(091123至091129)
- 病毒周报(100201至100207)
- 病毒周报(100621至100627)
- 病毒周报(071224至071230)
- 病毒周报(071231至080106)
- 病毒周报(080114至080120)
- 病毒周报(080128至080203)
- 病毒周报(080623至080629)
- 病毒周报(091207至091213)
- 病毒周报(100111至100117)
- 病毒周报(100301至100307)
- 病毒周报(100712至100718)
- 病毒周报(071126至071202)
- 病毒周报(080331至080406)
- 病毒周报(080609至080615)
- 病毒周报(080721至080727)
- 病毒周报(080728至080803)
- 病毒周报(080106至081012)
- 病毒周报(100125至100131)
- 病毒周报(100517至100523)