一、今日高危病毒简介及中毒现象描述:
TrojanDropper.Vedio.dc“唯毒”变种dc是“唯毒”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“唯毒”变种dc运行后,会在被感染系统的“%USERPROFILE%Local SettingsTemp”文件夹下释放恶意DLL组件“kb978924.gon”,之后会将其复制到“%programfiles%Common Filessystem”文件夹下重新命名为“kb978924.dmp”(文件属性设置为“隐藏、存档”)。将“%SystemRoot%system32”文件夹下的“dsound.dll”重新命名为“dsound.dll.dat”,并且向其中添加恶意代码。调用系统文件“sfc_os.dll”中的5号函数,以此关闭Windows文件保护功能。之后,其会将“%SystemRoot%system32dllcache”文件夹下的“dsound.dll”重新命名为“dsound.dll.XWGZ”,然后将包含恶意代码的“dsound.dll.dat”复制到%SystemRoot%system32dllcache”文件夹下,重新命名为“dsound.dll”。完成上述操作后,原病毒程序会释放批处理文件“tempVidio.bat”并在后台调用运行,以此消除痕迹。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现指定安全软件存在,“唯毒”变种dc便会尝试将其强行关闭,以此达到自我保护的目的。“唯毒”变种dc是一个专门盗取“QQ三国”网络游戏会员账号的木马程序,其会在被感染计算机的后广州做网站公司台秘密监视系统中运行的所有应用程序的窗口标题。一旦发现指定程序正在运行,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。
rojan/PSW.Papras.px“劈啪斯”变种px是“劈啪斯”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,经过加壳保护处理。“劈啪斯”变种px运行后,会自我复制到被感染计算机系统的“%SystemRoot%system”文件夹下,重新命名为“dwm.exe”。“劈啪斯”变种px运行时,会在被感染系统的北京做网站公司后台秘密监视用户的键盘输入,从而伺机窃取用户的账号和密码等机密信息,并在后台将窃得的信息发送到骇客指定的远程站点(IP:66.79.*.218),从而给被感染系统用户造成了不同程度的损失。另外,“劈啪斯”变种px会在被感染计算机中注册名为“darkness”的系统服务,以此实现开机自动运行。
二、针对以上病毒,比特网安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面广州做网站公司监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员北京网站建设在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民的病毒库已更新,并能查杀上述病毒。
(发布时间:2013-02-20 14:33)
