据51CTO安全频道报道:在13日的病毒中"小不点" , "玛格尼亚" , “U盘寄生虫”变种qe , “地穴”变种iz , “摩登王”变种bcg , “BHO劫持者”变种cic , “昊阗chm”和“木马下载者”都值得关注 , 大家做好病毒库更新及时防范 。一、明日高危病毒简介及中毒现象描述:
◆ “小不点”变种chj:它是“小不点”木马释放器家族的最新成员之一 , 采用高级语言编写 , 并经过添加保护壳处理 。“小不点”变种chj运行后 , 自我复制到被感染计算机系统的“%SystemRoot%system32”目录下 , 重命名为“sichost.exe” , 在同一目录下释放病毒文件“sovlost.exe” 。修改注册表 , 实现木马开机自动运行 。
在“%SystemRoot%system32”目录下释放恶意驱动程序“Nessery.sys”、“ssdtti.sys” , 并自动加载运行 , 恶意驱动程序可以还原系统SSDT , 致使某些安全软件的监控功能失效 。启动“iexplore.exe”进程 , 并将恶意代码注入其中运行 , 这样可以隐藏病毒程序 , 躲避安全软件的查杀 。查找并强行关闭某些安全软件 , 极大地降低了被感染计算机系统的安全性 。
访问骇客指定的网站 , 增加某些网站的访问量 , 为骇客带来经济利益 。监视被感染计算机中的QQ聊天窗口 , 利用QQ发送恶意信息或带毒链接 。一旦用户的好友点击该带毒链接 , 用户好友的计算机便会感染该木马 。另外 , “小不点”变种chj还能连接骇客指定的服务器站点 , 下载恶意程序并在被感染计算机上自动调用运行 。其中 , 所下载的恶意程序可能包含网游木马、恶意广告程序、后门等 , 给用户带来不同程度的损失 。
◆ “玛格尼亚”变种kgz:它是“玛格尼亚”木马家族的最新成员之一 , 采用Delphi语言编写 , 并经过添加保护壳处理 。“玛格尼亚”变种kgz运行后 , 在被感染计算机系统“%SystemRoot%help”目录下释放木马组件文件“EB6C4499B05F.dll” 。修改注册表 , 实现木马开机自动运行 。将木马组件插入到所有用户进程中加载运行 , 隐藏自身 , 防止被查杀 。
采用HOOK技术和内存截取技术 , 在被感染计算机的后台秘密监视用户的键盘和鼠标操作 , 盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏账号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息 , 并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上 , 造成玩家的游戏账号、装备物品、金钱等丢失 。
另外 , “玛格尼亚”变种kgz还会在被感染计算机上下载更多的恶意软件、网游木马等 , 给网络游戏玩家带来非常大的损失 。
◆“U盘寄生虫”变种qe:它是“U盘寄生虫”蠕虫家族的最新成员之一 , 采用高级语言编写 , 并经过添加保护壳处理 。“U盘寄生虫”变种qe运行后 , 自我复制到被感染计算机系统的“%SystemRoot%system”目录下 , 重命名为“wuauclt.exe” 。
在“%SystemRoot%system32drivers”目录下释放恶意驱动文件 , 覆盖系统文件“beep.sys”并加载运行 。驱动文件可还原系统“SSDT” , 致使某些安全软件的防御功能、监控功能失效 , 从而达到躲避监控的目的 。自我添加为启动项 , 实现蠕虫开机自动运行 。强行篡改注册表 , 禁止用户进入安全模式 。通过映像劫持功能禁止大量安全软件的运行 , 极大地降低了被感染计算机系统的安全性 。
在后台连接骇客指定的服务器站点 , 下载大量恶意程序并自动调用运行 , 给用户带来一定程度的危害 。在被感染计算机硬盘的各盘符根目录下以及移动存储设备根目录下创建“autorun.inf”文件和蠕虫主程序文件“SVS.PIF”(文件属性为“系统、隐藏”) , 实现双击盘符启动“U盘寄生虫”变种qe的目的 , 从而利用U盘、移动硬盘等进行自我传播 。另外 , “U盘寄生虫”变种qe还具有自我删除的功能 , 以便消除痕迹 。
推荐阅读
- 木马 对一款病毒程序的分析
- 防病毒之最安全打开U盘的方法
- 网游盗号病毒又出新变种 窃取黄易群侠传信息
- 代理脚本病毒利用漏洞传播病毒 下载网游木马
- 利用系统漏洞传播脚本病毒 伪颗粒窃取玩家信息
- 利用U盘、移动硬盘传播 小心文件魔头木马病毒
- 谨防窃取网游破天一剑Online玩家信息的木马病毒
- 谨防QQ游贼木马病毒窃取QQ帐号密码信息
- 盗号病毒又出新变种 小心木马病毒
- 索哈纳德蠕虫导致用户计算机早上9点自动运行病毒