12月29日, 金山云安全中心病毒疫情系统触发警报:半日内云安全服务器收集到23220个同类病毒新样本, 这些病毒已经入侵了多达20万台PC。 分析确认为蝗虫病毒新型变种, 该病毒通过网页挂马、流行病毒下载器传播。 而传播此盗号木马的的下载器一般会对抗杀毒软件, 造成杀毒软件不能打开、电脑反映速度变慢。 反病毒工程师分析认为该系列的盗号木马技术成熟, 传播途径广泛, 目标游戏非常的多(存在专门的生成器), 基本囊括了市面上大多数的游戏, 例如魔兽世界, 大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。
目前金山毒霸已经紧急升级病毒库防御此病毒, 建议毒霸用户升级到最新版本防御, 并开启金山清理专家的网页防挂马功能。
新Hbkenel变种相对于老版本的变化(盗号使用的手段没有变化)
1 去除hbkernel32.sys病毒驱动文件(其实是一段无效数据, 作者称其用于校验)
2 增加两个启动方式
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelay
3 释放的病毒的dll文件由原来的hb*.dll系列变为随机8位十六进制数
4 代码调用API方式进行了变化, 字符串也进行了一些变化。
附一张急救箱检测到这个病毒时的异常列表
HB蝗虫病毒防护方案:
1、更新病毒库、开启实时监控。 金山毒霸反病毒应急中心及时进行了病毒库更新, 升级毒霸到2008年12月29日的病毒库即可查杀以上病毒, 专家提醒, 一定要开启实时监控功能。
2、使用金山清理专家打全补丁。 安装金山系统清理专家不会与任何杀毒软件产生冲突, 并且只下载与安全相关的系统补丁和应用软件补丁程序。
3、单位局域网或小区宽带用户带需要安装金山ARP防火墙, 防止病毒通过ARP攻击在局域网中传播。
查杀方案:
金山系统急救箱也已经针对此病毒完成更新
对于没及时更新病毒库或非毒霸用户如果不小心感染此病毒, 可以访问http://www.duba.net/zhuansha/263.shtml免费下载最新版金山急救箱进行查杀。
特别提醒:某些下载器会造成用户打不开金山系统急救箱下载页面, 用户可以通过搜索其他合作站点的下载地址安装此产品。
其他建议:
由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加, 所以各类盗号木马必将随之增多, 建议用户一定要养成良好的网络使用习惯, 如不要登录不良网站、不要进行非法下载等, 切断病毒传播的途径, 不给病毒以可乘之机。
