动物家园计算机安全咨询中心(
[url]www.kingzoo.com[/url]
)反病毒斗士报牵手广州市计算机信息网络安全协会(
[url]www.cinsa.cn[/url]
)发布:
本周重点关注病毒:
“捕食网下载器”(Win32.Troj.DownLoadT.bm.102400) 威胁级别:★★
自从MS08-67漏洞公布以来,大量针对此漏洞的病毒***大量涌现,刚处理完“扫荡波”带来的威胁,动物家园反病毒斗士小组又捕获了另一个利用MS08-67漏洞的病毒,运行原理与“扫荡波”大同小异,因此提醒广大用户注意防范。
此病毒运行后,释放出多个子文件,其中比较重要的一个是%WINDOWS%\system32\drivers\目录中的驱动文件winsawids.sys,另一个是%WINDOWS%\system32\目录中的jiocs.dll。病毒会利用系统自身的rundll32.exe进程来加载自己的文件,实现自启动和隐蔽运行。
该毒每次运行时会解密一段数据,然后将这段数据发送到驱动,由驱动将这段数据创建为可执行文件,并执行这段文件。如可以成功运行,它便能够下载其它盗号***和自己的最新版本到中毒机器中。同时,搜索局域网以及外网的同一网段,只要发现未打MS08-67补丁、并且防火墙被关闭的电脑,就进行***,继续进行更大范围的传播。
“地下城盗贼102400”(Win32.Troj.Agent.tz.102400) 威胁级别:★★
该毒在释放出大量的子文件后,就搜索tenqqaccount.dll、DNF.exe、QQLogin.exe等QQ游戏的相关模块,开始执行盗号操作。在此过程中,它会替换电脑里的多处文件,比如系统文件csrss.dll和rpcss.dll,以及QQ游戏中自带的驱动文件TesSafe.sys。
这些文件都是与系统安全有关的,将它们替换为自己的文件,当病毒执行盗号任务时,玩家就不会收到任何安全提示,直到发觉帐号丢失也是一头雾水,不知道是什么时候被盗的。
该毒的变种比较多,部分变种由于病毒作者配置的原因,在杀毒软件对它们进查杀时,可能导致系统崩溃蓝屏,让系统与它们“同归于尽”。
号外:“奸商修改器”(Win32.troj.profiteer.271360) 威胁级别:★★★ (注意此是恶意度,不是病毒传染度)
动物家园反病毒斗士小组近日发现,一款能修改Thinkpad笔记本硬件配置信息的病毒,它是一个修改器程序,能对从T43开始、到酷睿2时代T60之间的所有机型进行修改,让低配置的水货机甚至完全冒牌的机器,看上去和正品行货机的配置完全一样。
通过对该修改器的分析,动物家园反病毒斗士小组发现,此毒极有可能是不法商人找人“量身定制”的,奸商们借助多种形式,将一些Thinkpad笔记本换芯,然后通过刷bios和利用此修改器来进行掩盖。被此修改器动过手脚的机器,无论是系统属性还是CPU信息,查看起来都是正常的。而由于笔记本在使用中,Intel的 Speedstep技术还会降频,因此在性能上也感觉不到多大差异。也就是说,用户很可能用了很长时间的Thinkpad水货,也不知道自己其实是当了冤大头。
该毒的修改过程比较复杂,总结该毒的4点特征:
1.系统的%WINDOWS%system32\目录中都存在smssa.exe和smssb.exe两个进程,将它们强制关闭后,cpu频率会明显降低。
2.利用Bios工具进行查看,cpu数据显示正常,但其版本日期都为05年11月7日。
3.在smssa.Exe和smssb.Exe进程运行状态下,通过cpu-z等检测工具检测出来的值 都为修改后的值,且cpu信息那栏不停的闪动。
4.大多数问题都出现在水货Thinkpad笔记本。
以前也曾有修改电脑配置数据的修改器被曝光,但它们只是在装机初期进行安装,修改完后就会被删除。而此次发现的“奸商修改器”则是长期驻留在系统中,并且可以骗过大部分硬件配置查看工具的检查。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
本周重点关注病毒:
“捕食网下载器”(Win32.Troj.DownLoadT.bm.102400) 威胁级别:★★
自从MS08-67漏洞公布以来,大量针对此漏洞的病毒***大量涌现,刚处理完“扫荡波”带来的威胁,动物家园反病毒斗士小组又捕获了另一个利用MS08-67漏洞的病毒,运行原理与“扫荡波”大同小异,因此提醒广大用户注意防范。
此病毒运行后,释放出多个子文件,其中比较重要的一个是%WINDOWS%\system32\drivers\目录中的驱动文件winsawids.sys,另一个是%WINDOWS%\system32\目录中的jiocs.dll。病毒会利用系统自身的rundll32.exe进程来加载自己的文件,实现自启动和隐蔽运行。
该毒每次运行时会解密一段数据,然后将这段数据发送到驱动,由驱动将这段数据创建为可执行文件,并执行这段文件。如可以成功运行,它便能够下载其它盗号***和自己的最新版本到中毒机器中。同时,搜索局域网以及外网的同一网段,只要发现未打MS08-67补丁、并且防火墙被关闭的电脑,就进行***,继续进行更大范围的传播。
“地下城盗贼102400”(Win32.Troj.Agent.tz.102400) 威胁级别:★★
该毒在释放出大量的子文件后,就搜索tenqqaccount.dll、DNF.exe、QQLogin.exe等QQ游戏的相关模块,开始执行盗号操作。在此过程中,它会替换电脑里的多处文件,比如系统文件csrss.dll和rpcss.dll,以及QQ游戏中自带的驱动文件TesSafe.sys。
这些文件都是与系统安全有关的,将它们替换为自己的文件,当病毒执行盗号任务时,玩家就不会收到任何安全提示,直到发觉帐号丢失也是一头雾水,不知道是什么时候被盗的。
该毒的变种比较多,部分变种由于病毒作者配置的原因,在杀毒软件对它们进查杀时,可能导致系统崩溃蓝屏,让系统与它们“同归于尽”。
号外:“奸商修改器”(Win32.troj.profiteer.271360) 威胁级别:★★★ (注意此是恶意度,不是病毒传染度)
动物家园反病毒斗士小组近日发现,一款能修改Thinkpad笔记本硬件配置信息的病毒,它是一个修改器程序,能对从T43开始、到酷睿2时代T60之间的所有机型进行修改,让低配置的水货机甚至完全冒牌的机器,看上去和正品行货机的配置完全一样。
通过对该修改器的分析,动物家园反病毒斗士小组发现,此毒极有可能是不法商人找人“量身定制”的,奸商们借助多种形式,将一些Thinkpad笔记本换芯,然后通过刷bios和利用此修改器来进行掩盖。被此修改器动过手脚的机器,无论是系统属性还是CPU信息,查看起来都是正常的。而由于笔记本在使用中,Intel的 Speedstep技术还会降频,因此在性能上也感觉不到多大差异。也就是说,用户很可能用了很长时间的Thinkpad水货,也不知道自己其实是当了冤大头。
该毒的修改过程比较复杂,总结该毒的4点特征:
1.系统的%WINDOWS%system32\目录中都存在smssa.exe和smssb.exe两个进程,将它们强制关闭后,cpu频率会明显降低。
2.利用Bios工具进行查看,cpu数据显示正常,但其版本日期都为05年11月7日。
3.在smssa.Exe和smssb.Exe进程运行状态下,通过cpu-z等检测工具检测出来的值 都为修改后的值,且cpu信息那栏不停的闪动。
4.大多数问题都出现在水货Thinkpad笔记本。
以前也曾有修改电脑配置数据的修改器被曝光,但它们只是在装机初期进行安装,修改完后就会被删除。而此次发现的“奸商修改器”则是长期驻留在系统中,并且可以骗过大部分硬件配置查看工具的检查。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
转载于:https://blog.51cto.com/kingzoo/113233
95
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
