动物家园计算机安全咨询中心(
www.kingzoo.com
)反病毒斗士报:
“捣毁者”(Worm/Win32.AutoIt.r) 威胁级别:★★
该病毒运行后,获取kernel32.dll基址,动态获取大量API函数地址,动态加载系统库文件uxtheme.dll,调用该库文件的"IsThemeActive"函数,获取系统版本号,动态加载系统库文件kernel32.dll,调用该库文件的IsWow64Process函数,查看操作系统是32位还是64位,获取系统版本信息之后释放到kernel32.dll,试图更改桌面壁纸,检测是否被处理调试状态,如果是则调用MessageBox弹出以下信息:"This is a compiled AutoIt script.AV researchers please email avsupport@autoitscript.com for support.",调用SHGetDesktopFolder函数获得桌面文件夹的IShellFolder接口,注册一个窗口类名"AutoIt v3 GUI"及消息句柄"TaskbarCreated",完成之后创建隐藏的窗口,调用函数创建一个WORD图标的托盘,调用函数进入消息循环一直到接收到WM_NULL则跳出循环,拷贝自身到%System32%目录下备份多个病毒副本,分别重命名为fjwfbnyobd.exe、bomlfdbivbryevg.exe、iabzajxe.exe、ogwcoyjfpfnjn.exe(全部为随机病毒名),并将属性全部隐藏,在%System32%目录下创建一个名为mydoc.rtf的WORD文件,调用函数创建大量病毒进程,循环打开多个mydoc.rtf文件,使系统速度大大下降,该病毒一旦运行之后将无法结束其进程直到系统资源耗尽导致死机。
“魔兽窃贼”(Trojan/Win32.OnLineGames.vwho[Stealer]) 威胁级别:★★
该病毒文件为魔兽世界游戏盗号***,病毒运行后创建t329076.ini到%System32%目录下,衍生随机病毒名文件到临时目录下,遍历进程查找AVP.EXE进程,如果进程存在则拷贝rundll32.exe一份重命命名为t329076.exe,调用CMD命令使用被重命名的t329076.exe文件(原文件名rundll32.exe)启动临时目录下的病毒文件,如进程不存在则直接使用rundll32.exe启动临时目录下的病毒文件,临时目录下的病毒文件被启动后对进程进行提权操作,判断自身进程是否为svchost.exe,如不是则退出,如是则衍生病毒DLL文件到%System32%目录下,拷贝rpcss.dll系统文件为t3rpcss.dll,将病毒DLL文件注入到EXPLORER.EXE进程中,病毒DLL查找含有魔兽世界标题和wow.exe进程的窗口,安装消息钩子截取游戏账号密码通过URL方式将账号信息发送到作者指定的地址中。
“感染者”(Virus/Win32.Virut.ce) 威胁级别:★★
病毒运行后复制自身到各驱动器根目录下(除系统盘根目录)并衍生配置文件,实现双击盘符运行病毒。在%ProgramFiles%目录和部分附属目录下复制自身并衍生病毒文件;修改注册表,添加启动项,对大量反病毒工具和软件映像劫持,锁定对隐藏文件的显示,使用户无法通过文件夹选项显示隐藏文件;禁用系统防火墙服务、自动更新服务、***保护服务、帮助服务;删除注册表中安全模式启动需要加载的驱动文件,使用户无法进入安全模式;开启自动播放功能,感染连接到中毒机器的移动磁盘;该病毒会自动关闭标题栏中含有指定字符的窗口或文件;该病毒主要通过移动磁盘进行传播。
动物家园计算机安全咨询中心反 病毒 工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有 病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免 病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反 病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
“捣毁者”(Worm/Win32.AutoIt.r) 威胁级别:★★
该病毒运行后,获取kernel32.dll基址,动态获取大量API函数地址,动态加载系统库文件uxtheme.dll,调用该库文件的"IsThemeActive"函数,获取系统版本号,动态加载系统库文件kernel32.dll,调用该库文件的IsWow64Process函数,查看操作系统是32位还是64位,获取系统版本信息之后释放到kernel32.dll,试图更改桌面壁纸,检测是否被处理调试状态,如果是则调用MessageBox弹出以下信息:"This is a compiled AutoIt script.AV researchers please email avsupport@autoitscript.com for support.",调用SHGetDesktopFolder函数获得桌面文件夹的IShellFolder接口,注册一个窗口类名"AutoIt v3 GUI"及消息句柄"TaskbarCreated",完成之后创建隐藏的窗口,调用函数创建一个WORD图标的托盘,调用函数进入消息循环一直到接收到WM_NULL则跳出循环,拷贝自身到%System32%目录下备份多个病毒副本,分别重命名为fjwfbnyobd.exe、bomlfdbivbryevg.exe、iabzajxe.exe、ogwcoyjfpfnjn.exe(全部为随机病毒名),并将属性全部隐藏,在%System32%目录下创建一个名为mydoc.rtf的WORD文件,调用函数创建大量病毒进程,循环打开多个mydoc.rtf文件,使系统速度大大下降,该病毒一旦运行之后将无法结束其进程直到系统资源耗尽导致死机。
“魔兽窃贼”(Trojan/Win32.OnLineGames.vwho[Stealer]) 威胁级别:★★
该病毒文件为魔兽世界游戏盗号***,病毒运行后创建t329076.ini到%System32%目录下,衍生随机病毒名文件到临时目录下,遍历进程查找AVP.EXE进程,如果进程存在则拷贝rundll32.exe一份重命命名为t329076.exe,调用CMD命令使用被重命名的t329076.exe文件(原文件名rundll32.exe)启动临时目录下的病毒文件,如进程不存在则直接使用rundll32.exe启动临时目录下的病毒文件,临时目录下的病毒文件被启动后对进程进行提权操作,判断自身进程是否为svchost.exe,如不是则退出,如是则衍生病毒DLL文件到%System32%目录下,拷贝rpcss.dll系统文件为t3rpcss.dll,将病毒DLL文件注入到EXPLORER.EXE进程中,病毒DLL查找含有魔兽世界标题和wow.exe进程的窗口,安装消息钩子截取游戏账号密码通过URL方式将账号信息发送到作者指定的地址中。
“感染者”(Virus/Win32.Virut.ce) 威胁级别:★★
病毒运行后复制自身到各驱动器根目录下(除系统盘根目录)并衍生配置文件,实现双击盘符运行病毒。在%ProgramFiles%目录和部分附属目录下复制自身并衍生病毒文件;修改注册表,添加启动项,对大量反病毒工具和软件映像劫持,锁定对隐藏文件的显示,使用户无法通过文件夹选项显示隐藏文件;禁用系统防火墙服务、自动更新服务、***保护服务、帮助服务;删除注册表中安全模式启动需要加载的驱动文件,使用户无法进入安全模式;开启自动播放功能,感染连接到中毒机器的移动磁盘;该病毒会自动关闭标题栏中含有指定字符的窗口或文件;该病毒主要通过移动磁盘进行传播。
动物家园计算机安全咨询中心反 病毒 工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有 病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免 病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反 病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
转载于:https://blog.51cto.com/kingzoo/251097
扫一扫
239
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
