一、今日高危病毒简介及中毒现象描述:
“克隆先生”变种yy是“克隆先生”木马家族中的最新成员之一, 采用“Borland Delphi 6.0 - 7.0”编写, 并且经过加壳保护处理。 “克隆先生”变种yy运行后, 会在被感染计算机系统的“%SystemRoot%\”目录下释放经过加壳保护的恶意程序“系统”(无扩展名), 并设置文件属性为“系统、隐藏、只读”。 “克隆先生”变种yy运行时, 会将恶意代码注入到新创建的“iexplorer.exe”进程中隐密运行, 不断尝试与控制端(地址为:202.106.*.39:8000)进行连接, 一旦连接成功, 则被感染的计算机便会沦为骇客的傀儡主机。 骇客可以向被感染的计算机发送恶意指令, 从而执行任意控制操作, 其中包括:文件管理、进程控制、注册表操作、远程命令执行, 屏幕监控、键盘监听、鼠标控制、视频监控等, 会给用户的个人隐私甚至是商业机密造成不同程度的损失。 同时, 骇客还可以向傀儡主机发送大量的恶意程序, 从而对用户构成了更加严重的侵害。 另外, “克隆先生”变种yy会在被感染计算机中注册名为“系统.com.cn”的系统服务(服务描述为“文件监控管理.”), 以此实现木马的开机自启。
“Skype大盗”变种a是“Skype大盗”木马家族中的最新成员之一, 采用“Microsoft Visual Basic 5.0 / 6.0”编写, 经过加壳保护处理, 是一个专门盗取“skype”网络电话账号的木马程序。 “Skype大盗”变种a运行后, 会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下, 重新命名为“wmpnetw.sys”。 同时, 还会在相同目录中释放恶意DLL组件“MSWINSCK.OCX”。 “Skype大盗”变种a图标伪装成“Skype”程序图标, 以此来诱骗用户点击运行。 该木马运行后, 会打开一个高度仿真的“Skype”登陆窗口, 如果用户在这个仿冒的登陆窗口中输入账号和密码并点击“登录”按钮, 则用户的账号信息便会被发送至骇客指定的远程服务器站点上, 从而给用户造成了不同程度的损失。 在窃取行为完成后, 该木马还会显示“文件丢失, 请重新下载安装”的虚假信息, 以此更深程度的蒙蔽了用户。 另外, “Skype大盗”变种a会通过修改注册表键“ShellExecuteHooks”的方式实现开机自动运行。
二、针对以上病毒, 比特网安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。 建议用户将一些主要监控经常打开, 如邮件监控、内存监控等, 目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件, 尤其是来历不明的邮件。 企业级用户可在通用的邮件服务器平台开启监控系统, 在邮件网关处拦截病毒, 确保邮件客户端的安全。
3、企业级用户应及时升级控制中心, 并建议相关管理人员在适当时候进行全网查杀病毒。 另外为保证企业信息安全, 应关闭共享目录并为管理员帐户设置强口令, 不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止, 江民的病毒库已更新, 并能查杀上述病毒。 感谢江民科技为比特网安全频道提供病毒信息。
