avengert 发表于 2010-4-1 11:10

2010年4月1日【魔兽窃贼释放临时文件调用系统文件】

以下是2010年4月1日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
        ======================================================================================================
        安天实验室每日病毒预警

一、“魔兽窃贼”(Trojan/Win32.Vilsel.xbd)威胁级别:★★★★
   病毒运行之后动态获取多个API函数,在临时目录下释放一个*.tmp临时文件,调用regsvr32.exe系统文件将病毒释放在临时目录下的文件注册为Windows链接库和ActiveX控件并加载已释放的病毒文件,病毒运行完毕之后删除自身文件,被加载的病毒文件执行命令后拷贝%System32%目录下的msvcp50.dll为msvcp60.dll文件,并对该进程进行提权操作,判断自身进程是否是regsvr32与svchost.exe进程,拷贝自身到%System32%目录下的并命名为:rpcss.dll~951531,添加注册表启动项,将%System32%目录下的rpcss.dll命名为rpcss.dll1248234,再将病毒DLL文件命名成rpcss.dll以达到伪装成系统文件的目的,开启一个SVCHOST.EXE进程将病毒DLL注入到该进程中,被感染的用户会被执行下载恶意病毒文件、控制计算机截取敏感账号密码等操作。

二、“霸族变种”(Trojan/Win32.Buzus.dpfd)威胁级别:★★★★
    该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找内存空间地址,并比较,申请内存空间将病毒代码写入到内存空间,在进程中创建线程释放病毒文件到%System32%目录下,修改注册表使系统文件达到启动病毒的目的,连接网络


安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ======================================================================================================



中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
页: [1]
查看完整版本: 2010年4月1日【魔兽窃贼释放临时文件调用系统文件】