6月17日病毒播报:“狂风下载器释放体”和“非法远程连接工具”

2009/6/17 来源:www.arpun.com 作者:小白

在今日的病毒中“尖峰洞”变种azb、“佳美尼亚”变种u种、“狂风下载器释放体”和“非法远程连接工具”都值得关注。

  一、今日高危病毒简介及中毒现象描述:

  “尖峰洞”变种azb是“尖峰洞”木马家族中的最新成员之一, 采用“Borland Delphi 6.0 - 7.0”编写, 并且经过多次加壳保护处理。 “尖峰洞”变种azb运行后, 会自我复制到被感染系统的“%SystemRoot%\system32\”目录下, 重新命名为“explor.exe”。 利用Rootkit技术隐藏木马的相关进程和文件等, 从而使得用户难以对其进行查杀。 “尖峰洞”变种azb运行时, 会将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行, 不断尝试与控制端(IP地址为:202.106.*.29:8000)进行连接, 一旦连接成功, 则被感染的计算机便会沦为骇客的傀儡主机。 骇客可以向被感染的系统发送恶意指令, 从而执行任意控制操作, 其中包括文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等, 给用户的个人隐私甚至是商业机密造成了不同程度的侵害。 同时, 骇客还可以向傀儡主机发送大量的恶意程序, 从而致使用户面临更加严重的威胁。 “尖峰洞”变种azb会在被感染计算机中注册名为“windows 核心组件服务项”的系统服务, 以此实现木马的开机自启。 其主程序在安装完毕后也会将自我删除, 从而达到了消除痕迹的目的。

  “佳美尼亚”变种u是“佳美尼亚”木马家族中的最新成员之一, 采用“Microsoft Visual C++ 6.0”编写。 “佳美尼亚”变种u运行后, 会在被感染系统的“%SystemRoot%\system32\”目录下释放恶意程序“system_ylmy.exe”, 在“%SystemRoot%\system\”目录下释放恶意DLL组件“QQrecord.dll”, 在“%SystemRoot%\”目录下释放加壳的恶意DLL组件“usp10.dll”。 “佳美尼亚”变种u是一个专门盗取“QQ”会员账号的木马程序, 运行时会首先结束系统中已经存在的“QQ.exe”进程。 监视用户是否重新打开了“QQ用户登陆”窗口, 一旦发现该窗口被打开, 便会通过安装键盘钩子、键盘记录等方式盗取用户的“QQ”账号和密码等信息, 并在后台将窃取到的信息发送到骇客指定的收信页面“http://3www.99*r.net/qq_dahuala.asp”上(地址加密存放), 致使用户的“QQ”帐号丢失, 给用户造成了不同程度的损失。 另外, “佳美尼亚”变种u会通过仿冒系统文件“usp10.dll”的方式实现木马的开机自动运行。

  “狂风下载器释放体”(win32.troj.downbwm.100872), 这是一个木马下载器的母体。 如果它顺利进入电脑, 就会在系统盘中释放出下载器的文件, 下载大量的恶意程序到电脑中。 “狂风下载器释放体”(win32.troj.downbwm.100872)无疑是最近最耀眼的“新起之秀”, 在进入六月后, 该毒多次对用户构成极大威胁, 频繁出现在我们的预警中。 昨日, 它的感染量继续增长, 以23万台次的单日感染量拿下感染量排行的首位。 目前发现此毒主要通过脚本下载器的帮忙, 以及捆绑其它程序来进行传播, 当顺利进入系统后, 就会在系统盘的system32目录下生成病毒dll文件。 专杀工具下载:www.arpun.com 此毒拥有多款变种, 根据变种的不同, 所释放文件的功能也有所差异, 主要是远程控制程序和一些能下载其他木马的下载器程序。 而由于被它下载到电脑中的木马会越来越多、并且都被激活运行, 系统的资源会被逐渐占用, 运行速度越来越慢。

  “非法远程连接工具”(win32.troj.smallt.rv.61440), 此毒为一款类似灰鸽子的远程控制程序。 它主要是借助下载器的下载, 以及捆绑于别的程序中混入电脑。 如果顺利运行, 就与远程黑客服务器连接, 帮助黑客控制电脑。 “非法远程连接工具”(win32.troj.smallt.rv.61440)的感染量并不高, 但它具有一定的代表性。 毒霸云安全系统最近监测到的数据显示, 盗号木马的传播量越来越小, 病毒团伙转而投入传播远程控制程序。 win32.troj.smallt.rv.61440就是这些远控程序中的一个。 它的行为十分老套, 当进入系统后就自我解压, 然后添加注册表启动项, 以后每次开机后它都会自动连接黑客服务器, 收发黑客指令, 将用户电脑变为肉鸡。 虽然“非法远程连接工具”(win32.troj.smallt.rv.61440)本身的感染量不大, 但像它这样的远控木马比较多, 因此在总量上是非常值得注意的。

  二、针对以上病毒, 比特网安全频道建议广大用户:

  1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。 建议用户将一些主要监控经常打开, 如邮件监控、内存监控等, 目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

  2、请勿随意打开邮件中的附件, 尤其是来历不明的邮件。 企业级用户可在通用的邮件服务器平台开启监控系统, 在邮件网关处拦截病毒, 确保邮件客户端的安全。

  3、企业级用户应及时升级控制中心, 并建议相关管理人员在适当时候进行全网查杀病毒。 另外为保证企业信息安全, 应关闭共享目录并为管理员帐户设置强口令, 不要将管理员口令设置为空或过于简单的密码。

  截至记者发稿时止, 江民、金山的病毒库均已更新, 并能查杀上述病毒。 感谢江民科技、金山毒霸为比特网安全频道提供病毒信息。

网友评论
评论(...
全部评论