安天实验室9月11日病毒预警
安天实验室9月11日病毒预警出处:安天实验室 时间:2008年9月11日
一、“木马下载者”(Trojan-Downloader.Win32.Delf.nqt) 威胁级别:★★★★
病毒运行后创建互斥量防止病毒多次运行,休眠5000ms后调用API函数连接网络下载病毒文件并保存到%HomeDrive%下重命名为:eee.exe,休眠15000ms后获取文件属性,在%HomeDrive%下创建eee.bat批处理文件,使用WinExec函数调用eee.bat文件用于启动下载后的病毒文件eee.exe,eee.exe运行之后复制自身到%System32%目录下重命名为:winssco.exe,修改注册表并创建病毒服务,释放time.bat批处理文件到%Windir%目录下,同步系统时间并修改W32time服务设置。
二、“偷盗者”(Trojan-GameThief.Win32.OnLineGames.skmj) 威胁级别:★★★
该病毒下载者木马类,病毒运行之后调用API函数GetSystemDirectoryA获取系统目录,在%System32%目录下创建病毒文件adfbaa.exe(随机病毒名),调用CreateProcessA创建病毒进程,遍历进程查找是否存在以下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用LoadLibraryA函数加载SFC.DLL文件,释放批处理文件到%temp%临时目录下,将%System32%\drivers\目录下的beep.sys文件删除,并创建一个同名的文件,释放驱动文件恢复SSDT使卡巴主动防御失效,衍生的adfbaa.exe行为分析:释放驱动文件pcxyqr.sys,摘掉钩子使卡巴主动防御完全失效,创建病毒服务,添加注册表映像劫持,遍历进程查找“drvanti.exe”驱动防火墙进程,如找到则调用API函数TerminateProcess强行结束该进程,连接网络读取TXT列表下载大量恶意文件,经分析下载的大量文件均为盗号木马,给用户清理代理极大的不便。
安天反病毒工程师建议
1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年9月11日的病毒库即可查杀以上病毒;如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。
页:
[1]