|
本周提醒广大用户注意病毒:Backdoor.Win32.Landis.q ,该病毒属后门类,病毒主要通过msn传播,病毒运行后会在%system%下释放病毒相关文件,病毒还会判断当前系统的版本信息,从而采取不同的方式来修改系统配置。病毒还会修改系统注册表文件,使得病毒副本能够随机启动,降低系统安全设置,禁用注册表编辑器。而后病毒还会修改%System%\drivers\etc\hosts文件,阻止用户访问反病毒及安全网站。该病毒对用户有一定的危害,病毒还具有后门功能,恶意用户可以对感染主机执行任意操作。
病毒主要会对主机进行以下操作:
病毒会释放以下文件:
%System%\<random folder>\csrss.exe
%System%\<random folder>\smss.exe
%System%\netstat.com
%System%\taskkill.com
......
判断当前所感染系统的版本
若系统为:Window me/98,则修改"win.ini"文件
[windows]
load = %System%\\csrss.exe
run = %System%\\csrss.exe
若系统为:Windows NT/2000/XP/2003,则修改注册表:
HKEY_USERS\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
旧值: 字串: ""
新值: 字串: "%System32%\<random folder>\csrss.exe"
HKEY_USERS\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
旧值: 字串: ""
新值: 字串: "%System32%\<random folder>\csrss.exe"
病毒还会修改注册表文件,降低系统的安全配置:
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Hidden = 2
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\SuperHidden = 0
......
修改%System%\drivers\etc\hosts文件,阻止用户访问以下网络:
www.ca.com
www3.ca.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
www.f-secure.com
ftp.f-secure.com
ftp.sophos.com
liveupdate.symantec.com
customer.symantec.com
mcafee.com
www.mcafee.com
rads.mcafee.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
nai.com
www.nai.com
networkassociates.com
......
遍历系统当前进程,若包含以下进程,病毒便会尝试终止:
mcdash.exe
mcvsessn.exe
mcinfo.exe
mcfagent.exe
mpfservice.exe
mskagent.exe
mcmhdlr.exe
tmpfw.exe
smc.exe
zlclient.exe
......
病毒还具有后门功能,病毒运行后会自动连接到一个IRC服务器,等待并执行恶意用户的操作。
详细分析请看:Backdoor.Win32.Landis.q分析报告
|
内容:
病毒上报信箱: