>> 最新文章
>> 阅读排行
当前位置:14日病毒预报“小迷糊”新变种 盗号木马依旧猖獗
51CTO安全频道今日提醒您注意:在明天的病毒中“代理木马”变种bbgh、“小迷糊”变种qqf、“网游盗号者69901”、“小偷下载器73728”和“Win32.SillyDl.EDK”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“代理木马”变种bbgh是“代理木马”木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“代理木马”变种bbgh运行后,在被感染计算机“%SystemRoot%\system32\”目录下释放病毒组件“IEHelper.dll”,并在系统盘“\Program Files\Internet Explorer\”目录下释放病毒文件“SVCHOST.EXE”。自我注册为浏览器辅助对象(BHO),实现木马开机自动运行。在后台秘密监视用户的键盘操作,窃取用户输入的账号、密码等机密信息,并将用户的机密信息发送到骇客指定的服务器站点上,给用户带来一定程度的损失。频繁弹出IE窗口,影响用户的正常工作,并导致被感染计算机运行速度变慢。在被感染计算机系统的后台下载恶意程序并自动调用运行。所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给用户带来极大的损失。另外,“代理木马”变种bbgh还可能与骇客指定的服务器建立网络连接,侦听骇客的指令,导致骇客通过“代理木马”变种bbgh远程控制被感染计算机系统,严重威胁用户计算机私密信息安全。
◆“小迷糊”变种qqf是“小迷糊”木马家族的最新成员之一,采用汇编语言编写,并经过添加保护壳处理。“小迷糊”变种qqf运行后,自我复制到被感染计算机系统盘的“Documents and Settings\All Users\Application Data\”目录下,文件名随机生成。修改注册表,实现木马开机自动运行。连接骇客指定的远程服务器站点,侦听骇客的指令,进行恶意操作,导致被感染计算机被骇客远程完全控制。另外,“小迷糊”变种qqf还会在被感染计算机上下载更多的恶意程序,给用户带来损失。
◆“网游盗号者69901” 这个木马的作案原理很普通,如果不是借助一些对抗型下载器进行下载,它是无法威胁用户的系统安全的。
毒霸反病毒工程师发现,这个病毒进入系统后会迅速释放出病毒文件,分别是%WINDOWS%\目录下的fiosectc.exe,以及%WINDOWS%\system32\目录下的fiosectc.dll。Fiosectc.exe是病毒的主文件,它会将该文件写入系统注册表启动项,实现开机自启动。而fiosectc.dll是负责盗号的文件,它会被注入系统桌面进程explorer.exe,不断搜索网络游戏《征途》、《魔兽世界》和《游戏茶苑》的进程。
如果发现目标,病毒就注入游戏进程,读取游戏账号和密码,并发送到病毒作者指定的地址http:/ /www.ck8**66.com/*****/lin111.asp中,令用户遭受虚拟财产的损失。另外,毒霸反病毒工程师发现,出于对接收赃物的保险考虑,病毒作者还给该毒设置了根据游戏种类不同而发送密码到不同子页面地址的功能。
◆“小偷下载器73728” 此病毒是一个典型的木马下载器。它利用网页挂马、捆绑文件等法进入用户电脑,然后释放出病毒文件 urlmon.dll 到%WINDOWS%\system32\下,并更名为lo.dll。
这个文件一旦被顺利释放出来,便会注入到系统桌面进程和IE进程中,在后台建立远程连接,从病毒作者指定的地址http:/ /www.la***wn.com.cn/js下载近30个.exe格式的病毒文件。
下载完的文件全都保存在 %WINDOWS%\system32\ 文件夹下执行,其中的文件名主要有msnlive.exe、kavmoni.exe、kavsvchost.exe、kkk.exe,以及若干随机命名的其它文件。经毒霸反病毒工程师检查,这些病毒都是各式各样的盗号木马。如果它们在用户电脑中顺利跑起来,就能将系统中的几乎所有密码偷个精光。
◆Win32.SillyDl.EDK是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时,通过Internet Explorer浏览器安装的,其它的特洛伊下载器或程序,或者是用户选择安装的软件包。Win32/SillyDl变体可能下载其它的特洛伊病毒,或者没有病毒的程序例如广告软件。同时,它会尝试下载更新。这种病毒通常利用HTTP下载。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰为51CTO安全频道提供病毒信息。
一、明日高危病毒简介及中毒现象描述:
◆“代理木马”变种bbgh是“代理木马”木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“代理木马”变种bbgh运行后,在被感染计算机“%SystemRoot%\system32\”目录下释放病毒组件“IEHelper.dll”,并在系统盘“\Program Files\Internet Explorer\”目录下释放病毒文件“SVCHOST.EXE”。自我注册为浏览器辅助对象(BHO),实现木马开机自动运行。在后台秘密监视用户的键盘操作,窃取用户输入的账号、密码等机密信息,并将用户的机密信息发送到骇客指定的服务器站点上,给用户带来一定程度的损失。频繁弹出IE窗口,影响用户的正常工作,并导致被感染计算机运行速度变慢。在被感染计算机系统的后台下载恶意程序并自动调用运行。所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给用户带来极大的损失。另外,“代理木马”变种bbgh还可能与骇客指定的服务器建立网络连接,侦听骇客的指令,导致骇客通过“代理木马”变种bbgh远程控制被感染计算机系统,严重威胁用户计算机私密信息安全。
◆“小迷糊”变种qqf是“小迷糊”木马家族的最新成员之一,采用汇编语言编写,并经过添加保护壳处理。“小迷糊”变种qqf运行后,自我复制到被感染计算机系统盘的“Documents and Settings\All Users\Application Data\”目录下,文件名随机生成。修改注册表,实现木马开机自动运行。连接骇客指定的远程服务器站点,侦听骇客的指令,进行恶意操作,导致被感染计算机被骇客远程完全控制。另外,“小迷糊”变种qqf还会在被感染计算机上下载更多的恶意程序,给用户带来损失。
◆“网游盗号者69901” 这个木马的作案原理很普通,如果不是借助一些对抗型下载器进行下载,它是无法威胁用户的系统安全的。
毒霸反病毒工程师发现,这个病毒进入系统后会迅速释放出病毒文件,分别是%WINDOWS%\目录下的fiosectc.exe,以及%WINDOWS%\system32\目录下的fiosectc.dll。Fiosectc.exe是病毒的主文件,它会将该文件写入系统注册表启动项,实现开机自启动。而fiosectc.dll是负责盗号的文件,它会被注入系统桌面进程explorer.exe,不断搜索网络游戏《征途》、《魔兽世界》和《游戏茶苑》的进程。
如果发现目标,病毒就注入游戏进程,读取游戏账号和密码,并发送到病毒作者指定的地址http:/ /www.ck8**66.com/*****/lin111.asp中,令用户遭受虚拟财产的损失。另外,毒霸反病毒工程师发现,出于对接收赃物的保险考虑,病毒作者还给该毒设置了根据游戏种类不同而发送密码到不同子页面地址的功能。
◆“小偷下载器73728” 此病毒是一个典型的木马下载器。它利用网页挂马、捆绑文件等法进入用户电脑,然后释放出病毒文件 urlmon.dll 到%WINDOWS%\system32\下,并更名为lo.dll。
这个文件一旦被顺利释放出来,便会注入到系统桌面进程和IE进程中,在后台建立远程连接,从病毒作者指定的地址http:/ /www.la***wn.com.cn/js下载近30个.exe格式的病毒文件。
下载完的文件全都保存在 %WINDOWS%\system32\ 文件夹下执行,其中的文件名主要有msnlive.exe、kavmoni.exe、kavsvchost.exe、kkk.exe,以及若干随机命名的其它文件。经毒霸反病毒工程师检查,这些病毒都是各式各样的盗号木马。如果它们在用户电脑中顺利跑起来,就能将系统中的几乎所有密码偷个精光。
◆Win32.SillyDl.EDK是一种下载的特洛伊病毒。Win32/SillyDl变体可能是用户访问恶意网页时,通过Internet Explorer浏览器安装的,其它的特洛伊下载器或程序,或者是用户选择安装的软件包。Win32/SillyDl变体可能下载其它的特洛伊病毒,或者没有病毒的程序例如广告软件。同时,它会尝试下载更新。这种病毒通常利用HTTP下载。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、金山、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸、冠群金辰为51CTO安全频道提供病毒信息。
