7月26日病毒播报:橙色诱惑调用下载恶意程序

2009/7/26 来源:www.arpun.com 作者:小白

“U盘寄生虫”变种ipx是“U盘寄生虫”蠕虫家族中的最新成员之一, 采用高级语言编写, 并且经过多次加壳保护处理。 “U盘寄生虫”变种ipx运行后, 会自我复制到被感染系统的“%SystemRoot%\system32\”目录下, 重新命名为“xserat.exe”(文件属性为“系统、隐藏”)。 在被感染计算机的后台遍历当前系统中所有正在运行的进程, 一旦发现指定的安全软件存在, 便会尝试将其结束。 查找当前系统中的窗口标题, 一旦发现指定的字符串(如“杀毒”、“监视”、“DeBug”等), 则会将该窗口所对应的程序关闭。 强行篡改注册表, 致使用户系统中的“显示系统隐藏文件”功能失效。 还会利用映像文件劫持特性, 干扰大量系统工具、安全管理工具、诊断修复工具的正常运行, 从而达到了自我保护的目的。 在被感染系统的后台下载配置文件“http://www.dj5201314d*.com/images/bzkpidx.xml”, 读取该文件中存储的恶意程序下载地址, 下载指定恶意程序并调用运行。 另外, 还会下载其它恶意文件“http://www.95599*5.cn/wed/fuck.rar”。 “U盘寄生虫”变种ipx所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序(流氓软件)等, 致使用户面临更多的威胁。 另外, “U盘寄生虫”变种ipx会将自身复制到被感染系统的“开始”菜单“启动”文件夹下, 以此实现开机后的自动运行。

  “橘色诱惑”变种pm是“橘色诱惑”木马家族中的最新成员之一, 采用SFX自解压格式存储。 “橘色诱惑”变种pm运行后, 会在被感染系统的“%SystemRoot%\”目录下生成文件夹“yloty”(会通过批处理文件, 将该文件夹设为“系统、隐藏、存档”属性), 同时在该文件夹下释放一些脚本文件并调用运行。 “橘色诱惑”变种pm会连接骇客指定的远程ftp服务器站点“ftp://www.xing885.cn”, 下载指定的恶意程序“cachev.exe”并调用运行, 从而给用户造成不同程度的损失。 另外, “橘色诱惑”变种pm会在被感染系统注册表启动项中添加键值“360try”的方式来实现木马的开机自动运行。

  二、针对以上病毒, 比特网安全频道建议广大用户:

  1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。 建议用户将一些主要监控经常打开, 如邮件监控、内存监控等, 目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

  2、请勿随意打开邮件中的附件, 尤其是来历不明的邮件。 企业级用户可在通用的邮件服务器平台开启监控系统, 在邮件网关处拦截病毒, 确保邮件客户端的安全。

  3、企业级用户应及时升级控制中心, 并建议相关管理人员在适当时候进行全网查杀病毒。 另外为保证企业信息安全, 应关闭共享目录并为管理员帐户设置强口令, 不要将管理员口令设置为空或过于简单的密码。

  截至记者发稿时止, 江民的病毒库已更新, 并能查杀上述病毒。 感谢江民科技为比特网安全频道提供病毒信息。

网友评论
评论(...
全部评论