安天实验室2009年1月26日-2月1日病毒报告
http://www.antiy.com/cn/security/img/20090202.jpg本周第一位:Worm/Win32.AutoRun.xgn为蠕虫类病毒,病毒运行后,动态获取API,查找类名为"CabinetWClass"的窗体,如找到该窗口则调用API函数枚举子窗体并发送"WM_SETTEXT"、"WM_KEYDOWN"消息,获取进程句柄修改访问权限,遍历进程查找AVP.exe,找到该进程后,将系统时间设置为当前时间减3天的时间即向前3天时间,延迟一段时间再将时间还原,遍历进程查找安全软件进程、如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭,衍生病毒文件lz090111.exe、lz32dla.dll到%System%目录下,修改注册表项使设置显示隐藏文件失效,添加注册表启动项,并在%Documents and Settings%\All Users\目录下创建配置文件lzdf16.ini存放衍生的病毒路径,开启iexploe.exe进程连接网络,病毒会不定期下载病毒文件更新自身。lz32dla.dll主要作用为开启iexplore.exe进程创建一个线程,连接网络记录安装信息,在每个盘符下生成anto.exe病毒文件,达到双击盘符自动运行病毒目的,添加大量映像劫持使部分安全软件不能正常开启,监视windows 任务管理器窗口,如发现则调用API函数发送关闭消息。
重点关注:
Backdoor/Win32.Agent.abqq该病毒为后门类,病毒运行后检测调试器,遍历进程查找指定的进程名称,如果存在调试器或含有指定的进程名称则病毒体退出;结束系统中的指定服务;在临时目录下衍生名称为"dll***.dll"(***为随机数字)的文件;加载衍生的dll文件。衍生自删除批处理文件到临时目录下运行后删除病毒体和批处理自身。衍生的动态链接库文件被加载后,衍生Nskhelper2.sys文件到系统目录下,并创建事件NsDlRk250,检测当前的系统时间,如果年份大于2008则退出执行;否则创建远程线程,连接网络下载病毒文件、添加大量映像劫持、修改host文件,在各个盘根目录下衍生病毒文件和autorun.inf文件、在系统目录下释放其他驱动文件等操作;衍生appwinproc.dll到系统目录,检测标题含有指定字符串的窗口并结束其进程。
专家建议:
1.在任务管理器中查看是否有陌生以及可疑的进程存在。
2.安装安天防线反病毒软件。
3.及时打全系统补丁。
4.及时关注各种应用软件的漏洞并及时更新到应用软件的最新版本。
5.在需要输入游戏账号信息时,打开安天防线反病毒软件的实时监控功能。
6.注意经常更新安天防线反病毒软件的病毒库来阻止被病毒感染。
手动查杀方法:
针对以上病毒,其病毒变种非常之多。其应用技术各不相同所以没有一个固定的手动查杀方法,只能告诉用户一些基本的杀毒方法,针对微软XP用户:
1.断开网络连接,进行以下操作。
2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。
3.查看是否有陌生程序的启动项,有则找到对应位置,使用安天防线反病毒软件查杀或手动删除。
4.打开“文件夹选项”中的查看隐藏文件等选项,这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改,解决办法使用安天防线反病毒软件扫描或者手动修改。
5.对于使用移动设备时,请先用右键点击查看,是否有“自动运行”项,如有,在使用前用安天防线反病毒软件扫描。
下周病毒预测:
从本周的趋势观察,及据安天实验室捕获统计,本周木马类病毒有所上升,该类病毒根据作者的要求其功能也有一定的变化,其主要目的是窃取用户的隐私信息;提醒经常使用网银等网上付费业务的用户和游戏玩家注意保护个人账号密码密保卡等信息。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
8.下载软件后应用使用安天防线反病毒软件进行查杀,然后进行使用。
页:
[1]