一、今日高危病毒简介及中毒现象描述:
“U盘寄生虫”变种bpg是“U盘寄生虫”蠕虫家族中的最新成员之一, 采用高级语言编写, 并且经过加壳保护处理。 “U盘寄生虫”变种bpg运行后, 会在被感染系统的“C:\”目录下释放恶意DLL组件“dnt.dll”, 在“%SystemRoot%\fonts”和临时文件夹下释放临时的恶意驱动文件。 “U盘寄生虫”变种bpg运行时, 会在被感染计算机的后台遍历当前系统中所有正在运行的进程, 一旦发现指定的安全软件存在便会尝试将其结束。 篡改注册表, 致使“显示系统隐藏文件”功能失效, 还会关闭指定安全软件的监控和“Windows自动更新”服务, 并且会利用文件映像劫持功能干扰大量安全软件的正常运行。 在被感染系统的后台秘密监视所有正在运行程序的窗口标题, 一旦发现标题中存在某些指定的字符串便会尝试将对应的窗口关闭, 从而提高了自我的生存几率, 进一步增加了被感染系统的风险。 “U盘寄生虫”变种bpg会在被感染系统中所有分区根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫主程序文件“GRIL.PIF”(文件属性设置为“系统、隐藏”), 以此实现双击盘符后激活蠕虫, 从而达到了利用存储设备进行自我传播的目的, 给计算机用户造成了更多的侵害。 另外, “U盘寄生虫”ARP联盟提供专杀工具:www.arpun.com 变种bpg会通过在被感染系统注册表启动项中添加键值以及新建计划任务的方式实现蠕虫的开机自启。
“佳美尼亚”变种v是“佳美尼亚”木马家族中的最新成员之一, 采用“Borland Delphi 6.0 - 7.0”编写。 “佳美尼亚”变种v运行后, 会自我复制到被感染计算机系统的“C:\Program Files\Internet Explorer\”目录下, 重新命名为“Mfc42.sys”。 还会释放恶意DLL组件“Mfc42.tdm”和光标文件“tray.cur”, 并将文件属性设置为“系统、隐藏”。 “佳美尼亚”变种v会通过向安全软件的提示窗口发送消息以及鼠标模拟点击等方式绕过主动防御的监控。 同时还会通过篡改注册表和系统时间等方式关闭某些安全软件的监控, 从而进一步地增加了被感染系统的风险。 “佳美尼亚”变种v会强行修改当前系统所用光标、系统声音以及IE主页等, 并会通过安装消息钩子、鼠标钩子等方式, 在被感染计算机的后台向已登陆QQ用户的好友发送垃圾消息、广告消息、钓鱼网站或者木马程序等, 从而达到了传播病毒以及干扰用户等目的。 其还会在被感染系统中定时弹出恶意广告网页或恶意广告条窗口, 严重地影响了用户的正常操作。 另外, “佳美尼亚”变种v会修改注册表“ShellExecuteHooks”键值, 以此实现木马的开机自动运行。
二、针对以上病毒, 比特网安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。 建议用户将一些主要监控经常打开, 如邮件监控、内存监控等, 目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件, 尤其是来历不明的邮件。 企业级用户可在通用的邮件服务器平台开启监控系统, 在邮件网关处拦截病毒, 确保邮件客户端的安全。
3、企业级用户应及时升级控制中心, 并建议相关管理人员在适当时候进行全网查杀病毒。 另外为保证企业信息安全, 应关闭共享目录并为管理员帐户设置强口令, 不要将管理员口令设置为空或过于简单的密码。
