51CTO安全频道今日提醒您注意:在明天的病毒中“顽梯”变种ezi、“网游窃贼”变种tsg、“露萨”变种aq、“IE大盗”变种d 、“视觉控制492544”和“完美世界盗号器114688”都值得关注。
1、明日高危病毒简介及中毒现象描述:
◆“顽梯”变种ezi是“顽梯”恶意驱动程序家族的最新成员之一,采用C语言编写,通常以系统服务的方式来运行。“顽梯”变种ezi运行后,执行还原系统“SSDT HOOK”的操做,导致部分安全软件的防护系统和监控系统失效,从而达到***免杀和躲避监控的目的。在系统SSDT中挂钩某些关键函数,隐藏自我,保护病毒傀儡进程“RUNDLL32.EXE” 句柄,防止该进程被用户关闭掉。“顽梯”变种ezi属于恶意程序集合中的一个功能模块,伴随着该***程序模块,还会有不少其它恶意程序模块一块儿安装到了被感染计算机系统中。用户计算机一旦感染了该类病毒,那么很难完全清除干净,给用户带来不一样程度的损失。
◆“网游窃贼”变种tsg是“网游窃贼”***家族的最新成员之一,采用VC++ 6.0编写,并通过加壳保护处理。“网游窃贼”变种tsg运行后,自我插入到被感染计算机的系统“explorer.exe”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现***开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《QQ华夏》玩家的游戏账号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器站点上,导致《QQ华夏》游戏玩家的游戏账号、装备物品、金钱等丢失,给游戏玩家带来很是大的损失。另外,“网游窃贼”变种tsg还具备反部分安全软件的功能,防止被安全软件监视和查杀,大大下降了被感染计算机上的安全性。
◆“露萨”变种aq是“露萨”***家族的最新成员之一,采用Delphi语言编写,并通过加壳处理。“露萨”变种aq运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,并重命名为“Mousie.exe”。在被感染计算机系统的后台秘密监视正在运行的进程名和已打开的窗口标题,一旦发现某些安全软件程序正在运行,立刻将其强行关闭。破坏注册表项,导致没法显示隐藏文件。遍历用户计算机的C到Z驱动器,建立病毒副本,利用U盘、移动硬盘等移动设备进行传播。在被感染计算机系统的后台链接骇客指定站点,获取恶意程序的下载地址列表,在被感染的计算机上下载全部的恶意程序并自动调用运行。强行篡改注册表,实现进程映像劫持,致使用户运行某些安全程序时实际上运行的是“露萨”变种aq主程序,甚至系统自带的任务管理器也没法正常运行。“露萨”变种aq执行安装程序完毕后会自我删除。另外,“露萨”变种aq还能够自升级。
◆“IE大盗”变种d是“IE大盗”***家族的最新成员之一,采用高级语言编写,并通过加壳保护处理。“IE大盗”变种d运行后,在被感染计算机系统“%SystemRoot%\system32\”目录下释放病毒DLL组件“mswapi.dll”。修改注册表,自我注册为浏览器辅助插件(BHO),实现***随IE浏览器的启动而加载运行。在被感染计算机系统的后台利用HOOK技术和键盘记录等技术盗取用户在IE浏览器中输入的几乎全部机密信息资料(包括:浏览的网址甚至是用户名、密码等机密信息),并将窃取到的用户信息发送到骇客指定的远程服务器站点上,给用户带来不一样程度的损失。另外,“IE大盗”变种d完成安装释放的过程后会自我删除,消除痕迹。
◆“视觉控制492544” 这个病毒的行为相似于灰鸽子,运行起来后就会监视用户系统的操做,并创建后门,方便***非法登陆和控制用户电脑。
此病毒比较大的一个特色是,它会假装正常的经常使用文件的图标,诱骗用户点击,使它得以运行。至于采用何种图标,则根据变种的不一样而不一样。在此篇预警播报所描述的版本中,它采用的是QQ即时聊天工具的图标,但在其它版本中,则存在有WORD文档、文件夹、MSN等多种图标。
当被点击激活后,病毒就释放出文件userdata.exe和userdata.dll到%WINDOWS%目录下。不过,这些文件的名称不固定,它们也可能采用其它看似正常的系统文件的名称。接着,病毒就注入svchost.exe等系统进程,隐蔽地运行本身。
若是顺利运行起来,病毒就与病毒做者(***)指定的远程地址链接,使得***能够监视用户的电脑屏幕,以及在无任何提示的状况下启动视频设备,而且还能够执行任何他想要的其它非法操做。
◆“完美世界盗号器114688” 这个盗号***利用消息监控的方式来盗取《完美世界》玩家的账号和密码。它的原理普通,但因为借助下载器和捆绑其它文件,近来该毒和它的若干变种的传染趋势有所加强。
病毒进入系统后,会试图在系统盘下建一个名为Syswm1h的隐藏文件夹,而后将本身的文件svchost.exe和Ghook.dll释放到其中。不过,因为病毒做者指定的路径为C盘根目录,若是你的系统盘不在C盘上,那病毒就没法完成这个动做了。
若是能够成功释放出文件,病毒就修改系统注册表实现开机自启动,并将DLL文件注入桌面进程Explorer.exe,搜寻《完美世界》的进程。而后就创建消息监视,从游戏客户端与服务器端的通信中截获账号与密码,发送到***种植者指定的邮箱。令玩家受到虚拟财产的损失。
2、针对以上病毒,51CTO安全频道建议广大用户:
一、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控常常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、***、有害程序或代码等***用户计算机。
二、请勿随意打开邮件中的附件,尤为是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
三、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员账户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸为51CTO安全频道提供病毒信息。
【相关文章】