|
本周第一位:
Trojan/Win32.Agent.xqr[Dropper]该病毒为木马类病毒,病毒运行后,查找%Systme32%目录下的lsystipl64.dll(随机病毒名)c.ico、m.ico、s.ico文件将其删除,创建regsvr32.exe进程加载病毒DLL文件,添加注册表启动项,创建VIP Casinov.url、Cheap Pharmacy Onlinev.url、Search Onlinev.url快捷方式文件到桌面,设置URL地址,url快捷方式文件的图标分别设置为指定的%Systme32%下的c.ico、m.ico、s.ico图标文件,将VIP Casinov.url、Cheap Pharmacy Onlinev.url、Search Onlinev.url快捷方式文件添加到收藏夹内,将病毒文件lsystipl64.dll注入到Explorer.exe进程中,调用函数连接网络打开一个网址并下载病毒文件保存到%Systme32%目录下,重命名为:userinit.exe,病毒DLL文件主要行为:当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载,当用户选择“是”则会连接网络下载文件,当用户选择“否”则会弹出一个网页模拟本地磁盘,显示存在的威胁数量并提示用户是否下载扫描器,严重影响用户对本地磁盘的正常浏览。
重点关注:
Trojan/Win32.OnLineGames.ubga[stealer]该病毒为地下城与勇士游戏盗号木马,病毒运行后,衍生随机病毒名DLL文件到%system32%目录下,添加注册表、HOOK启动项、释放批处理BAT文件,用于删除自身、试图将病毒DLL注入到所有进程中。病毒DLL分析:查找QQLogin.exe、DNF.exe,如找到则创建线程,查找类名"Progman",找到之后设置键盘鼠标钩子、向该窗口发送消息、安装消息钩子,查找HBInject32窗口并发送WM_COPYDATA消息、通过消息钩子截取游戏账号及密码,通过URL方式发送到病毒作者指定的URL中。
专家建议:
1.在任务管理器中查看是否有陌生以及可疑的进程存在。
2.安装安天防线反病毒软件。
3.及时打全系统补丁。
4.及时关注各种应用软件的漏洞并及时更新到应用软件的最新版本。
5.在需要输入游戏账号信息时,打开安天防线反病毒软件的实时监控功能。
6.注意经常更新安天防线反病毒软件的病毒库来阻止系统被病毒感染。
手动查杀方法:
针对以上病毒,其病毒变种非常之多。其应用技术各不相同所以没有一个固定的手动查杀方法,只能告诉用户一些基本的杀毒方法,针对微软XP用户:
1.断开网络连接,进行以下操作。
2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。
3.查看是否有陌生程序的启动项,有则找到对应位置,使用安天防线反病毒软件查杀或手动删除。
4.打开“文件夹选项”中的查看隐藏文件等选项,这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改,解决办法使用安天防线反病毒软件扫描或者手动修改。
5.对于使用移动设备时,请先用右键点击查看,是否有“自动运行”项,如有,在使用前用安天防线反病毒软件扫描。
下周病毒预测:
从本周的趋势观察,及据安天实验室捕获统计,本周木马类病毒有所上升,该类病毒根据作者的要求其功能也有一定的变化,其主要目的是窃取用户的隐私信息;提醒经常使用网银等网上付费业务的用户和游戏玩家注意保护个人账号密码密保卡等信息。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
8.下载软件后应用使用安天防线反病毒软件进行查杀,然后进行使用。
|
