【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“超级AV终结者”、“木马控制器57344”、都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“超级AV终结者”病毒非常狡猾, 它在进入系统后, 不会立即运行, 而是查找系统中是否存在OllyICE.exe、OllyDbg.exe、ImportREC.exe、C32Asm.exe、LordPE.exe、PEditor.exe等反病毒工作人员经常使用的工具, 如果存在, 就会立刻关闭自己、退出运行。 很明显, 它想刻意逃避反病毒工程师的分析。
而该毒的危害性主要体现在它强大的对抗能力。 由于同时综合了AV终结者、机器狗、扫荡波的特点, 从未有任何病毒的对抗能力像此毒一样凶猛。 它在进入系统后, 首先会恢复系统SSDT表, 一旦SSDT表被恢复, 就意味着该毒可以穿透任何一款系统还原软件的防线。 同时, 它按照自带的一份“黑名单”搜索安全软件, 只要发现用户安装得有安全软件, 就调将其关闭。 毒霸反病毒工程师检查它的“黑名单”后发现, 这份名单非常庞大, 几乎所有网上能搜索到的安全软件, 都是该毒的关闭目标。
事情还没完, 如果仅仅是关闭, 那么用户还可以重新启动这些安全软件。 病毒作者当然不会允许这种事情发生, 他给病毒设置了映像劫持功能, 劫持这些安全软件的进程。 如果用户试图启动它们, 唯一的结果就是把病毒再激活一次而已。 而为阻止用户向安全软件厂商求助, 病毒会屏蔽许多安全软件的官网。
当解决了“碍事”的安全软件, 病毒才放心大胆的读取用户MAC地址, 并解密自己的配置文件, 获取下载列表, 下载大量的盗号木马到用户电脑中运行——这才是它的最终目的。 该毒在成功占领一台电脑后, 就开始对局域网内的其它电脑实施攻击。 它搜索局域网中所有存在MS08067漏洞的电脑, 利用漏洞将自己发送到这些电脑上。 同时, 对所有的电脑展开ARP攻击, 劫持用户所浏览网页上的链接, 如果用户点击链接, 就会被引导到病毒作者安排好的广告网址, 或者下载包括该毒在内的一些恶意程序。 为确保攻击成功, 该毒还会释放出一个扫荡波病毒, 协助自己进行攻击。
必须提及的是, 该毒的ARP攻击频率达到令人惊讶的地步, 在毒霸反病毒工程师的测试中, 该毒对局域网的ARP攻击竟然高达每分钟1万次以上, 在三分钟不到的时间里, 就能阻塞由数百台电脑组成的局域网。 当攻击达到最高峰时, 电脑甚至连病毒作者自己指定的网址也无法访问, 这种现象可谓是疯狂至极。 仅仅在局域网中传播, 病毒作者并不满足。 为实现更大范围的传播, 该毒在执行上述破坏过程时, 还会遍历驱动器, 在非a:\和b:\的磁盘分区的根目录下创建AUTO文件autorun.inf和system.dll。 一旦用户在中毒电脑上使用U盘等移动存储设备, 病毒就会自动将其传染。 当在U盘插入另一台电脑时, 它又会将该电脑传染, 这样就实现了自动传播。
◆“木马控制器57344”病毒在进入系统后, 释放出子文件avgupdt.exe和lsass.exe到%WINDOWS%\SYSTEM32\2054913864\目录下, 此目录是随机命名, 反而容易被用户发现。 当修改注册表启动项、实现开机自启动后, 病毒就会运行起来, 连接病毒作者指定的黑客服务器, 等待黑客指令。
二、针对以上病毒, 51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。 建议用户将一些主要监控经常打开, 如邮件监控、内存监控等, 目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件, 尤其是来历不明的邮件。 企业级用户可在通用的邮件服务器平台开启监控系统, 在邮件网关处拦截病毒, 确保邮件客户端的安全。
3、企业级用户应及时升级控制中心, 并建议相关管理人员在适当时候进行全网查杀病毒。 另外为保证企业信息安全, 应关闭共享目录并为管理员帐户设置强口令, 不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止, 金山的病毒库均已更新, 并能查杀上述病毒。 感谢金山毒霸为51CTO安全频道提供病毒信息。
