在%System32%目录下建立文件夹inf并拷贝%System32%目录下的rundll32.exe到inf目录下重命名为svchost.exe , 衍生病毒文件wftadfi16_080908a.dll、dcbdcatys32_080908a.dll(该病毒文件为查找雅虎和IE保护选项的窗口 , 并按提示做出相对的回应)到%Windir%目录下 , 衍生病毒文件sppdcrs080908.scr(该文件为病毒自身)、scsys16_080908.dll(该文件模拟鼠标点击操作以达到躲避病毒安全软件的主动提示 , 模拟点击操作为允许)到%System32%inf目录下 , 添加注册表启动项目使用rundll32.exe加载病毒DLL文件 , 并在%Windir%目录下创建配置文件tawisys.ini存放衍生的病毒路径 , 衍生mywfhit.ini到System32目录下mywfhit.ini文件记录病毒更新情况 , 病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身 。
◆“木马下载者”:该病毒为下载者木马 , 病毒运行后创建互斥量MICK_DOWNLOAD_MUTEX , 目的防止多次运行 , 在%Windir%下创建目录名为:Nt_File_Temp , 并释放BAT批处理文件执行 , 提升在%system32%dllcache文件夹、%system32%dllcacheexplorer.exe、E:NBMSClientHardwareInfo.exe(网维大师相关程序)、%Windir%explorer.exe文件到系统当前用户完全控制权限 , 连接网络读取列表下载大量恶意文件 , 下载的文件多数为盗号木马类病毒 , 给用户清理带来非常大的不便 。
二、针对以上病毒 , 51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库 。建议用户将一些主要监控经常打开 , 如邮件监控、内存监控等 , 目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机 。
2、请勿随意打开邮件中的附件 , 尤其是来历不明的邮件 。企业级用户可在通用的邮件服务器平台开启监控系统 , 在邮件网关处拦截病毒 , 确保邮件客户端的安全 。
3、企业级用户应及时升级控制中心 , 并建议相关管理人员在适当时候进行全网查杀病毒 。另外为保证企业信息安全 , 应关闭共享目录并为管理员帐户设置强口令 , 不要将管理员口令设置为空或过于简单的密码 。
截至采访人员发稿时止 , 江民和安天实验室的病毒库均已更新 , 并能查杀上述病毒 。
推荐阅读
- 木马 对一款病毒程序的分析
- 防病毒之最安全打开U盘的方法
- 网游盗号病毒又出新变种 窃取黄易群侠传信息
- 代理脚本病毒利用漏洞传播病毒 下载网游木马
- 利用系统漏洞传播脚本病毒 伪颗粒窃取玩家信息
- 利用U盘、移动硬盘传播 小心文件魔头木马病毒
- 谨防窃取网游破天一剑Online玩家信息的木马病毒
- 谨防QQ游贼木马病毒窃取QQ帐号密码信息
- 盗号病毒又出新变种 小心木马病毒
- 索哈纳德蠕虫导致用户计算机早上9点自动运行病毒