本周重点关注病毒:
“海量下载器XO号”(Win32.Troj.DownArpT.xo.135168) 威胁级别:★★
病毒运行后,会在系统盘中生成数量极大的病毒文件群,主要集中在系统盘根目录、%Content.IE5%目录、%windows%目录、%windows%\fonts\目录、%windows%\system32\目录下。其中%windows%\目录下的upxdnd.exe病毒文件很值得注意,因为它的相关信息会被加入注册表启动项,这使得病毒在每次系统重启时都能随之启动。之后,病毒就会立即自删除源文件,使用户无法找到病毒源。
当完成以上步骤,病毒就开始连接[url]http://www.n[/url]***23***1.com/这一远程地址,下载并立即运行大量其它病毒文件,占用大量系统资源,造成系统严重瘫痪。需要提及的是,这些下载的病毒文件,其文件名是由1~20的数字加上EXE后缀构成。
在该病毒下载的“帮凶”中,有不少是盗号木马,会盗取各种网络游戏和即时聊天工具的帐号信息。还有个别病毒会下载ARP病毒,当用户中了ARP病毒后,在同一个局域网内的其它计算机都有可能遭受欺骗,造成局域网极其不稳定。
该病毒还会破坏userinit.exe系统文件以及已安装的安全软件。一旦病毒破坏了userinit.exe系统文件,用户在重启系统后,就可能无法正常登录系统,甚至一直停留在登录界面。而当安全软件都被破坏后,用户的系统安全性将大大降低,更多的病毒将乘虚而入,给用户造成更大损失。
“病毒综合体17960”(Win32.Troj.Popwin.am.17960) 威胁级别:★★
病毒运行后,在%windows%\system32\目录下释放出病毒文件26E07E70.EXE、3DEF2E8.DLL以及n1132397173k.exe。同时,它还在各磁盘分区生成AUTO病毒,分别是:auto.exe和autorun.inf病毒辅助文件。只要用户双击打开磁盘,病毒就再次被激活,此后,当用户使用U盘等移动存储器时,病毒便会将其传染。
病毒运行成功后,会将系统日期改为2005年,使部分依赖系统时间的杀软失效,大大降低用户系统的安全性。紧接着,它便悄悄连接远程服务器,下载大量其它病毒和木马到%windows%目录和%system32%目录中。用户如果查看启动项,可发现新增了不少陌生的启动项。而通过任务管理器,可发现有三个病毒程序嵌入到rundll32.exe系统文件中,分别是GUIMon01.dll、MediaDrv01.dll和SQLLink01.dll。它们也都躲在%windows%\system32\目录下。
该病毒会不断弹出hxxp://www.d**a.net/*t/ksc/h**p的窗口。随着窗口的大量弹出,系统最终将陷入瘫痪状态。
需要注意的是,在病毒下载的“帮凶”中,相当部分具有盗号功能,盗取的都是现今比较主流的大型网络游戏和即时通讯软件,如《传奇》、《大话西游2》、《梦幻西游》、《彩虹岛》、《QQ》、《QQ游戏》等。此外,它还具有自删除功能,在完成运行后就会删除源文件,避免用户发现。
安全劫持者23559”(Win32.Troj.AgentT.ge.23559) 威胁级别:★★
病毒成功运行后,会在系统盘中生成六个病毒文件,分别为%Windows%\system32\目录下的verclsids.exe,%ProgramFiles%目录下的meex.exe,%ProgramFiles%\Common Files\Microsoft Shared\目录下的fjmnjay.inf、yedeayu.exe,以及%ProgramFiles%\Common Files\System\目录下的ewwwoxi.exe和fjmnjay.inf。另外,还在每个磁盘分区根目录下面创建以下两个病毒文件:Autorun.infmcqdvnc.exe,其中Autorun.inf文件的内容指向mcqdvnc.exe,当用户双击打开磁盘分区时,病毒就被激活。此后,只要用户在中毒电脑上使用U盘等移动存储器,病毒就会立即将其传染。
之后,病毒开始大量修改注册表。它将自己的相关信息添加到系统启动项,达到随系统自动启动之目的。而为了不让用户发现自己,它会破坏文件夹选项的设定数据,将自己的文件显示模式设为隐藏,并且每次启动后,就创建IExplorer.exe进程并将自己注入其中。
同时,病毒会添加键值,实现对“诺顿”、“Autoruns启动项管理工具”等多种安全软件的映像劫持,如果用户试图使用安全软件,会发现最终被启动的全是病毒。而为了防止用户进入安全模式手动查杀,病毒还会破坏系统安全模式的有关数据。
当完成以上动作后,病毒就会悄悄建立远程连接,从[url]http://www.w[/url]****b.com/这一网址读取最新的指令信息,升级并下载其他木马或者病毒,给用户造成更大损失。
“网游搜刮器114688”(Win32.PSWTroj.OnlineGames.114688) 威胁级别:★★
病毒运行后,在%windows%\system32\目录下创建四个病毒文件,分别为:addrdhhelp.cfg、addrdhhelp.dll、mseam.sys、qdshm.dll,其中qdshm.dll是木马本身,mseam.sys用以实现木马的启动和自保护,addrdhhelp.cfg是病毒的配置文件,addrdhhelp.dll则用来实现盗号信息的发送。文件释放完后,病毒就删除源文件,避免用户发现。然后,病毒修改注册表,以便以后能随系统自动启动。
此病毒利用自己的函数替换了系统中原有的函数,伪装成服务提供者,监视用户电脑上的游戏客户端与网游运营商服务器的通信,对其中的数据进行分析,一旦发现网游帐号和密码等信息,便将其记录下来,并建立远程连接,将这些信息发送给木马作者。由于采用这种窃取方式可盗得病毒作者想要的任何数据,因此这个盗号者的作案目标也十分庞大,几乎所有知名网游都会“中招”,需要特别防范。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
此外还需要注意的是,由于会被多个网络服务所加载,除非关闭系统,否则此病毒将始终保持激活状态。