安天中國區2月第2周病毒報告:木馬繼續沙發蠕蟲保持第一
 |
| 圖1 |
本周***位:
從圖看出Worm/Win32.Otwycal.g家族繼續占據本周流行的病毒***位。該病毒屬蠕蟲類,病毒運行后判斷進程列表中是否存在smss.exe進程,若不存在程序退出模塊;判斷程序是否為%DriveLetter%\MSDOS.bat,若是用資源管理器打開該驅動器后返回;刪除文件%Windir%\Tasks\0x01xx8p.exe后,將自身移動到該位置,并更改為該文件名;檢測進程中是否有avp.exe進程,如果有,修改系統時間為2004年1月1日9時1分,使卡巴主動防御過期失效,且每4000ms重新設置一次時間。
修改當前進程的令牌權限,復制%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.ext;修改%Windir%\Tasks\poolsv.ext,將***一個節(.rsrc)節名改為.wycao,并在該節尾部寫入病毒代碼,復制%System32%\spoolsv.exe到%System32%\dllcache\spoolsv.exe,移動%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.brk移動修改后的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe,移動成功后退出,否則刪除文件%System32%\spoolsv.exe;移動修改后的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe。
重點關注:
Trojan/Win32.Agent.acfe [Dropper] 該病毒為熱血傳奇盜號木馬,病毒運行后,遍歷進程查找“alien32.exe”,如找到則強行結束該進程,拷貝自身文件到%system32%目錄下,重命名為:alien32.exe,獲取NTDLL.DLL文件時間,將衍生的病毒文件創建時間設置為獲取的NTDLL.DLL文件的時間,調用API函數創建%system32%目錄下病毒進程,病毒運行完后刪除自身。
alien32.exe病毒文件運行后查找類名為“SHRTMIR”的窗體,衍生DLL病毒文件到%system32%目錄下,動態加載病毒DLL文件,并調用病毒DLL,枚舉內核模塊名“ntkrnlpa.exe”并加載該進程,創建病毒驅動文件到%system32%\Drivers目錄下,并打開病毒服務,等待加載完畢后、刪除病毒驅動文件,添加注冊表RUN啟動項,遍歷進程查找360tray.exe進程、找到后強行結束該進程,遍歷進程查找explorer.exe進程、找到后調用內核函數獲取該進程句柄、修改進程的訪問令牌,申請內存空間、將病毒DLL寫到explorer.exe與svchost.exe進程中,并創建一個線程。
DLL文件主要行為:查找類名“SAS Window class”的窗體,并向該窗體發送錯誤消息,查找游戲類名"TFrmMain"名稱為"傳奇加載"的窗體,找到后調用函數向該窗體發送消息,檢測包含病毒預定的文字控件按鈕、如匹配成功則刪除該窗體的安全檢測控件,使游戲安全檢測項失效、以達到截取游戲賬號密碼目的,通過URL方式發送到作者指定的地址中。
專家建議:
1.在任務管理器中查看是否有陌生以及可疑的進程存在。
2.安裝安天防線反病毒軟件。
3.及時打全系統補丁。
4.及時關注各種應用軟件的漏洞并及時更新到應用軟件的***版本。
5.在需要輸入游戲賬號信息時,打開安天防線反病毒軟件的實時監控功能。
6.注意經常更新安天防線反病毒軟件的病毒庫來阻止被病毒感染。
手動查殺方法:
針對以上病毒,其病毒變種非常之多。其應用技術各不相同所以沒有一個固定的手動查殺方法, 只能告訴用戶一些基本的殺毒方法,針對微軟XP用戶:
1.斷開網絡連接,進行以下操作。
2.在“運行”中輸入“msconfig”分別點擊“啟動”與“服務”標簽。
3.查看是否有陌生程序的啟動項,有則找到對應位置,使用安天防線反病毒軟件查殺或手動刪除。
4.打開“文件夾選項”中的查看隱藏文件等選項,這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊表中顯示隱藏文件項被修改,解決辦法使用安天防線反病毒軟件掃描或者手動修改。
5.對于使用移動設備時,請先用右鍵點擊查看,是否有“自動運行”項,如有,在使用前用安天防線反病毒軟件掃描。
下周病毒預測:
從本周的趨勢觀察,及據安天實驗室捕獲統計, 從本周排行榜可以看出本周主要以木馬居多,導致該類病毒增多的一個原因是由于網游的***支持玩家學生寒假即將結束,紛紛返校致使盜號木馬類病毒增加;請用戶及時升級病毒庫,預防此類病毒的侵襲,提醒游戲玩家注意保護個人賬號等信息。
專家預防建議:
1.建立良好的安全習慣,不打開可疑郵件和可疑網站。
2.不要隨意接收聊天工具上傳送的文件以及打開發過來的網站鏈接。
3.使用移動介質時***使用鼠標右鍵打開使用,必要時先要進行掃描。
4.現在有很多利用系統漏洞傳播的病毒,所以給系統打全補丁也很關鍵。
5.安裝專業的防毒軟件升級到***版本,并開啟實時監控功能。
6.為本機管理員帳號設置較為復雜的密碼,預防病毒通過密碼猜測進行傳播,***是數字與字母組合的密碼。
7.不要從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。
8.下載軟件后應用使用安天防線反病毒軟件進行查殺,然后進行使用。
【相關文章】
