avengert 发表于 2010-4-19 13:54

2010年4月19日【破坏者木马修改安全软件程序】

以下是2010年4月19日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
        ======================================================================================================
        安天实验室每日病毒预警

一、“破坏者”(Trojan/Win32.Cosmu.vwm)威胁级别:★★★★
   病毒运行后衍生病毒文件到%Program Files%与IE文件目录下,替换部分防火墙程序、修改部分安全软件程序,降低反病毒软件与安全程序的检测能力,修改注册表,创建启动项;通过COM对象调用IE。

二、“木马下载者”(Trojan/Win32.Patched.iv)威胁级别:★★★★
    该文件被感染式病毒所感染,感染病毒对该文件做了入口点代码修改,当用户打开被感染的文件后,先执行病毒代码,再执行正常文件的代码。执行病毒代码后切换到正常文件代码的过程:先分配临时空间,将病毒代码存放到该缓冲区内,在文件入口偏移10E处调用执行病毒代码,获取模块句柄,打开文件从文件尾部向上偏移938(2036)字节并除去正常文件的代码,然后保存到缓冲区里,将读出来的正常文件数据拷贝到入口点处覆盖掉病毒代码,创建一个线程最后跳到原入口点执行正常文件的代码,所创建的线程是运行病毒主要功能代码。在正常文件执行后,线程同时被激活,线程执行后动态加载多个系统DLL文件,遍历%System32%目录下是否存在arpcss.dll文件,如有则退出线程,如没有则找到该文件并连接网络用于下载病毒文件并将下载的病毒文件保存到临时目录下。

安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ======================================================================================================



中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
页: [1]
查看完整版本: 2010年4月19日【破坏者木马修改安全软件程序】