动物家园计算机安全咨询中心(
[url]www.kingzoo.com[/url]
)反病毒斗士报牵手广州市计算机信息网络安全协会(
[url]www.cinsa.cn[/url]
)发布:
本周重点关注病毒:
“网银劫匪183808”(Win32.Expiro.b.183808) 威胁级别:★★
这个***是利用感染正常文件来进行传播的。如果用户运行被感染的文件,病毒就会被激活,开始搜寻正常文件。它会先将正常文件复制一份,以.ivr结尾,感染完毕后再将其删除。被感染的文件,会被加上.data 、.text、.bss、.data等后缀。
感染,只是为了不断扩张自己的传播范围,该病毒真正的盗号行为是在内存中进行。它被激活后,会不断搜索用户当前的浏览记录,如果监视到用户正在浏览ebay等购物网站及网银,就会展开键盘记录,记下用户敲入的帐号、密码等敏感信息,然后发送到***作者指定的地址。
“假保安诈骗***29632”(Win32.Troj.Update.a.29632) 威胁级别:★★
这个“安全软件”是利用一个专门的下载器进行传播,它的下载器会通过与其它软件捆绑、流氓式安装等方式进入用户电脑。运行后会在%WINDOWS%目录下释放出下载器主文件xpupdate.exe,以及在%Programfiles%目录下生成多个其它病毒文件。
接着,该下载器开始收集用户的系统信息,并以指定格式发送至病毒作者安排的地址 [url]http://dow[/url]***ad.M****reAlarm.com/madownload.php,进行分析。然后根据服务器反馈的信息下载间谍软件,以MalwareAlarm.exe的名称放到系统盘的%Programfiles%\MalwareAlarm\目录下。
当修改注册表、实现随系统自启动后,这个间谍软件就会弹出一个虚假的提示消息,显示出“您的电脑系统中存在严重异常,请立即购买本产品正式版进行修复!”之类让用户感到恐慌的窗口。让人在不知所措中匆忙按照它的提示汇款、转账,达到骗取钱财的目的。如果说盗号***是顶着用户的骂声作案,那这种假冒的安全软件则完全是利用电脑用户对安全软件的信任感来进行讹诈,十分可恶。
这类***已经不是第一次出现,电脑用户们如果发现自己电脑中突然有莫名其妙的安全提示,一定要提高警惕,很可能你遭遇的就是这种骗子。另外,在选择安全软件时,也要像购买普通商品那样,选择形象、口碑都好的品牌,避免遭遇这些“不良厂商”。
“工具箱蛀虫”(Win32.DelfSpy.je.885862) 威胁级别:★★
这个病毒是利用被感染文件的转移和下载来传播。它在进入用户系统后,会搜索屏保、外挂等小巧的应用程序,然后将自己附加在正常文件的前面。
当用户运行被感染的文件时,病毒就会被激活。它把名为tmp8.tmp的病毒文件拷贝到系统盘根目录下,并且释放嵌入在文件内部的后门程序tmp7.exe到系统根目录下,并立即执行,打开系统后门,恭候***的光临,如果***成功地侵入用户系统,他就能执行几乎所有想要的操作。为减少被用户发现的机率,在执行完成后,病毒就执行自我删除,抹去之前生成的病毒文件。
有一定反病毒技术知识的用户,在查看该病毒数据时可以发现,病毒作者为了增加杀毒软件的清除难度,在原文件感染节中重建了文件的引入表,并且在病毒代码执行完毕,准备返回入口地址时修复原文件正确的函数引入地址,以保证原文件不会运行错误。
“循环瘫痪下载器208896”(Win32.Troj.Agent.bk.208896) 威胁级别:★★
具备对抗杀软能力的下载器再次出现。和机器狗、磁碟机一样,这个下载器也具备解除杀毒软件主动防御的能力。毫无疑问,这是下载器发展的一个趋势,只要可带来巨额利润的病毒黑色产业链存在,病毒作者们就会想方设法地突破杀毒软件。
如果用户机器上安装了卡巴反病毒软件,这个病毒就会在%WINDOWS%system32\drivers\目录下释放出驱动程序beep.sys,将卡巴的主文件关闭。这个过程会不断反复,只要用户一启动卡巴,病毒就会立即将它强行关闭。而如果电脑中没有安装卡巴,病毒则释放这个驱动程序到系统临时目录,并且文件名随机。
接着,病毒利用自己的驱动程序,修改注册表,恢复系统SSDT表,使那些具有主动防御功能的杀毒软件失效。当这个过程运行完以后,病毒马上将其注册表项删除,需要运行时再创建。这样,用户检查注册表时,就容易发现异常。
最后,病毒开始干它的本职工作:从 [url]http://c.15[/url]**m.com/这个由病毒作者指定的地址下载一份名为okok.txt 的病毒列表。再下载列表里的所有病毒。在这些病毒中,大部分是盗号***程序,它们会盗取用户的网络游戏帐号密码,以及其他一些私密信息。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
本周重点关注病毒:
“网银劫匪183808”(Win32.Expiro.b.183808) 威胁级别:★★
这个***是利用感染正常文件来进行传播的。如果用户运行被感染的文件,病毒就会被激活,开始搜寻正常文件。它会先将正常文件复制一份,以.ivr结尾,感染完毕后再将其删除。被感染的文件,会被加上.data 、.text、.bss、.data等后缀。
感染,只是为了不断扩张自己的传播范围,该病毒真正的盗号行为是在内存中进行。它被激活后,会不断搜索用户当前的浏览记录,如果监视到用户正在浏览ebay等购物网站及网银,就会展开键盘记录,记下用户敲入的帐号、密码等敏感信息,然后发送到***作者指定的地址。
“假保安诈骗***29632”(Win32.Troj.Update.a.29632) 威胁级别:★★
这个“安全软件”是利用一个专门的下载器进行传播,它的下载器会通过与其它软件捆绑、流氓式安装等方式进入用户电脑。运行后会在%WINDOWS%目录下释放出下载器主文件xpupdate.exe,以及在%Programfiles%目录下生成多个其它病毒文件。
接着,该下载器开始收集用户的系统信息,并以指定格式发送至病毒作者安排的地址 [url]http://dow[/url]***ad.M****reAlarm.com/madownload.php,进行分析。然后根据服务器反馈的信息下载间谍软件,以MalwareAlarm.exe的名称放到系统盘的%Programfiles%\MalwareAlarm\目录下。
当修改注册表、实现随系统自启动后,这个间谍软件就会弹出一个虚假的提示消息,显示出“您的电脑系统中存在严重异常,请立即购买本产品正式版进行修复!”之类让用户感到恐慌的窗口。让人在不知所措中匆忙按照它的提示汇款、转账,达到骗取钱财的目的。如果说盗号***是顶着用户的骂声作案,那这种假冒的安全软件则完全是利用电脑用户对安全软件的信任感来进行讹诈,十分可恶。
这类***已经不是第一次出现,电脑用户们如果发现自己电脑中突然有莫名其妙的安全提示,一定要提高警惕,很可能你遭遇的就是这种骗子。另外,在选择安全软件时,也要像购买普通商品那样,选择形象、口碑都好的品牌,避免遭遇这些“不良厂商”。
“工具箱蛀虫”(Win32.DelfSpy.je.885862) 威胁级别:★★
这个病毒是利用被感染文件的转移和下载来传播。它在进入用户系统后,会搜索屏保、外挂等小巧的应用程序,然后将自己附加在正常文件的前面。
当用户运行被感染的文件时,病毒就会被激活。它把名为tmp8.tmp的病毒文件拷贝到系统盘根目录下,并且释放嵌入在文件内部的后门程序tmp7.exe到系统根目录下,并立即执行,打开系统后门,恭候***的光临,如果***成功地侵入用户系统,他就能执行几乎所有想要的操作。为减少被用户发现的机率,在执行完成后,病毒就执行自我删除,抹去之前生成的病毒文件。
有一定反病毒技术知识的用户,在查看该病毒数据时可以发现,病毒作者为了增加杀毒软件的清除难度,在原文件感染节中重建了文件的引入表,并且在病毒代码执行完毕,准备返回入口地址时修复原文件正确的函数引入地址,以保证原文件不会运行错误。
“循环瘫痪下载器208896”(Win32.Troj.Agent.bk.208896) 威胁级别:★★
具备对抗杀软能力的下载器再次出现。和机器狗、磁碟机一样,这个下载器也具备解除杀毒软件主动防御的能力。毫无疑问,这是下载器发展的一个趋势,只要可带来巨额利润的病毒黑色产业链存在,病毒作者们就会想方设法地突破杀毒软件。
如果用户机器上安装了卡巴反病毒软件,这个病毒就会在%WINDOWS%system32\drivers\目录下释放出驱动程序beep.sys,将卡巴的主文件关闭。这个过程会不断反复,只要用户一启动卡巴,病毒就会立即将它强行关闭。而如果电脑中没有安装卡巴,病毒则释放这个驱动程序到系统临时目录,并且文件名随机。
接着,病毒利用自己的驱动程序,修改注册表,恢复系统SSDT表,使那些具有主动防御功能的杀毒软件失效。当这个过程运行完以后,病毒马上将其注册表项删除,需要运行时再创建。这样,用户检查注册表时,就容易发现异常。
最后,病毒开始干它的本职工作:从 [url]http://c.15[/url]**m.com/这个由病毒作者指定的地址下载一份名为okok.txt 的病毒列表。再下载列表里的所有病毒。在这些病毒中,大部分是盗号***程序,它们会盗取用户的网络游戏帐号密码,以及其他一些私密信息。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
转载于:https://blog.51cto.com/kingzoo/69049
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
