|
本周第一位:
Trojan/Win32.Patched.iv[Downloader] 该文件被感染式病毒所感染,感染病毒对该文件做了入口点代码修改,当用户打开被感染的文件后,先执行病毒代码,再执行正常文件的代码。执行病毒代码后切换到正常文件代码的过程:先分配临时空间,将病毒代码存放到该缓冲区内,在文件入口偏移10E处调用执行病毒代码,获取模块句柄,打开文件从文件尾部向上偏移938(2036)字节并除去正常文件的代码,然后保存到缓冲区里,将读出来的正常文件数据拷贝到入口点处覆盖掉病毒代码,创建一个线程最后跳到原入口点执行正常文件的代码,所创建的线程是运行病毒主要功能代码。在正常文件执行后,线程同时被激活,线程执行后动态加载多个系统DLL文件,遍历%System32%目录下是否存在arpcss.dll文件,如有则退出线程,如没有则找到该文件并连接网络用于下载病毒文件并将下载的病毒文件保存到临时目录下。
重点关注:
Trojan/Win32.StartPage.zdf[Clicker] 该恶意代码文件为木马类,病毒运行后创建互斥量MutexName = "Q-$-EXE",以防止病毒多次运行产生冲突,创建一个线程通过检查注册表来确认是否安装QQ、迅雷等工具,并获取相应安装路径。遍历QQ的BIN目录查找TaskTray.dll文件,获取该文件的文件大小并比较文件大小是否是300000,如不是则删除%HOMEDRIVE%下的Q999.dll文件,并创建一个已经写入35328字节数据的新Q999.dll文件到%HOMEDRIVE%下,且将文件属性设置为隐藏。将BIN文件夹下的TaskTray.dll命名为Shareds.dll,将%HOMEDRIVE%下的Q999.dll病毒文件移动到BIN文件夹下命名为TaskTray.dll文件,动态获取大量API函数遍历进程查找QQ.EXE找到之后强行结束其进程。同样利用以上注册表查询迅雷的安装路径并获取迅雷目录下的mp.dll的文件大小,查找Shareds.dll文件并以该文件作为标志来判断是否已经被修改过,创建一个已经写入35328字节数据的新xlnnn.dll文件到%HOMEDRIVE%下,同样将xlnnn.dll替换成迅雷目录下的mp.dll,将mp.dll改名为Shareds.dll,再次遍历进程查找Thunder.exe找到之后结束该进程。在%HOMEDRIVE%下创建一个nyvdvm.lnk快捷方式文件、写入693字节数据,设置注册表将桌面的IE浏览器隐藏,同时将%HOMEDRIVE%下的nyvdvm.lnk快捷方式文件移动到桌面命名为Internet Explorer.lnk,调用Netbios函数获取本机MAC地址,隐藏开启iexplore.exe进程连接网络发送安装统计信息,病毒对QQ和迅雷的文件替换主要目是监视桌面上病毒创建的Internet Explorer.lnk,如发现被删除则会立即创建,这样达到无法正常删除的目的,当用户打开桌面IE浏览器时,将会跳转到病毒指定的广告网址。
专家建议:
1.在任务管理器中查看是否有陌生以及可疑的进程存在。
2.安装安天防线反病毒软件。
3.及时打全系统补丁。
4.及时关注各种应用软件的漏洞并及时更新到应用软件的最新版本。
5.在需要输入游戏账号信息时,打开安天防线反病毒软件的实时监控功能。
6.注意经常更新安天防线反病毒软件的病毒库来阻止系统被病毒感染。
手动查杀方法:
针对以上病毒,其病毒变种非常之多。其应用技术各不相同所以没有一个固定的手动查杀方法,只能告诉用户一些基本的杀毒方法,针对微软XP用户:
1.断开网络连接,进行以下操作。
2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。
3.查看是否有陌生程序的启动项,有则找到对应位置,使用安天防线反病毒软件查杀或手动删除。
4.打开“文件夹选项”中的查看隐藏文件等选项,这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改,解决办法使用安天防线反病毒软件扫描或者手动修改。
5.对于使用移动设备时,请先用右键点击查看,是否有“自动运行”项,如有,在使用前用安天防线反病毒软件扫描。
下周病毒预测:
从本周的趋势观察,及据安天实验室捕获统计,木马类类病毒占据了主要的位置,具有偷取用户隐私信息和部分变种具有控制用户机器的功能。提醒广大用户注意保护个人账号密码密保卡等信息。未来一周内此类病毒还会持续上升。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
8.下载软件后应用使用安天防线反病毒软件进行查杀,然后进行使用。 |
