“幸运门”后门很不幸

2008/12/7 来源:www.arpun.com 作者:小白

比特网安全频道昨日提醒您注意:在昨日的病毒中“幸运门”变种jm、“魔兽贼”变种j和“灰鸽子变种CKQ”变种都值得关注。

  一、高危病毒简介及中毒现象描述:

  “幸运门”变种jm是“幸运门”后门家族中的最新成员之一, 采用Delphi编写。 “幸运门”变种jm是一个由其它恶意程序释放出来的后门程序, 一般会被注入到其它进程中加载运行, 隐藏自我, 防止被查杀。 “幸运门”变种jm运行后, 会尝试读取“http://***992.xicp.net:8088/IP.TXT”中的内容, 然后为其中指定的IP地址提供远程控制服务, 导致被感染的计算机沦为骇客的傀儡。 骇客利用该后门程序可以对被感染的计算机进行包括文件传输、进程控制、注册表修改、屏幕监控、键盘监听等远程操作, 同时还可以通过“幸运门”变种jm下载大量的木马、病毒和流氓软件并调用运行。 该后门不但会严重的影响、侵犯用户的信息安全和个人隐私, 还可能对商业机密造成十分严重的威胁。

  “魔兽贼”变种j是“魔兽贼”木马家族中的最新成员之一, 采用“Borland Delphi 6.0 - 7.0”编写, 并且经过加壳保护处理。 “魔兽贼”变种j运行后, 会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下释放一个恶意DLL功能组件, 并将其插入到“explorer.exe”等几乎所有用户级权限的进程中加载运行。 该恶意DLL组件会在被感染计算机的后台查找“魔兽世界”游戏的相关进程, 之后利用消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏等级等信息, 并在后台将窃取到的信息发送到骇客指定的远程服务器中, 致使网游玩家蒙受不同程度的损失。 同时, “魔兽贼”变种j还会在被感染计算机的后台遍历当前系统中的所有进程, 一旦发现有指定安全软件进程的存在, 便会尝试将其结束, 以达到自我保护、提高自身生存能力的目的。

  “灰鸽子变种CKQ(Backdoor.Win32.Gpigeon2007.ckq)”病毒运行时会首先将自身拷贝到系统目录下, 并设置成隐藏、系统、只读属性。 然后病毒会创建系统服务, 实现随系统自启动。 它还会新建IE进程并设置该进程为隐藏, 然后将病毒自身插入该进程中。 通过在后台记录用户键盘操作, 病毒会偷取用户信息和本地系统信息等, 并将该信息发送给黑客。 如此用户计算机将被远程控制, 不自主地删除文件, 远程下载上传文件, 修改注册表等等, 给用户的计算机和隐私安全带来很大隐患。

  二、针对以上病毒, 比特网安全频道建议广大用户:

  1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。 建议用户将一些主要监控经常打开, 如邮件监控、内存监控等, 目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

  2、请勿随意打开邮件中的附件, 尤其是来历不明的邮件。 企业级用户可在通用的邮件服务器平台开启监控系统, 在邮件网关处拦截病毒, 确保邮件客户端的安全。

  3、企业级用户应及时升级控制中心, 并建议相关管理人员在适当时候进行全网查杀病毒。 另外为保证企业信息安全, 应关闭共享目录并为管理员帐户设置强口令, 不要将管理员口令设置为空或过于简单的密码。

  截至记者发稿时止, 江民、瑞星的病毒库均已更新, 并能查杀上述病毒。 感谢江民科技、瑞星信息技术为比特网安全频道提供病毒信息。

网友评论
评论(...
全部评论