2010年4月28日【广告木马运行后动态加载多个系统文件】
以下是2010年4月28日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.======================================================================================================
安天实验室每日病毒预警
一、“广告木马”(Trojan/VBS.StartPage.ez)威胁级别:★★★★
恶意代码文件为恶意广告类木马,该病毒文件为包裹捆绑病毒文件,病毒运行后动态加载多个系统DLL文件来获取所需调用的函数,查找并调用指定的模板资源,创建一个模态对话框在临时文件目录下并释放多个病毒文件,调用VBS脚本来修改添加注册表项,判断注册表IE主页是否为已修改,如是则不执行批处理文件,如不是则执行批处理文件将执行注册信息导入注册表实现修改IE主页和隐藏桌面的Internet Explorer浏览器,实现将病毒的URL快捷方式文件拷贝到%System32%目录下并在桌面、开始菜单-程序内与桌面快速启动位置创建IE快捷方式,最后删除病毒自身的IEXPLORE.lnk、Internet Explorer.lnk文件。
二、“偷取者”(Trojan/Win32.OnLineGames.wlqb)威胁级别:★★★★
该病毒为木马类,病毒运行后复制自身到系统目录,并重命名,衍生病毒文件,并删除自身。 修改注册表,添加服务项,以达到随机启动的目的。删除注册表中的服务项,修改注册表项以关闭错误报告。主动连接网络,更新病毒文件,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。
安天反病毒工程师建议
1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
======================================================================================================
中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
页:
[1]