avengert 发表于 2010-5-10 10:36

2010年05月10日【控制者木马将病毒数据写入进程】

以下是2010年5月10日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
        ======================================================================================================
        安天实验室每日病毒预警

一、“vb木马”(Trojan/Win32.VB.aeyw )威胁级别:★★★★
   该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件。 修改注册表,添加启动项,以达到随机启动的目的。添加防火墙规则到Windows Firewall授权软件列表,使病毒穿透防火墙不受阻挡。强行设置主页,修改hosts 文件信息。主动连接网络,下载相关病毒文件信息。

二、“控制者”(Trojan/Win32.Inject.adpk)威胁级别:★★★★
    该恶意代码文件为后门类,该病毒做了加密处理,病毒运行后删除注册表的"Software\Microsoft\Active Setup\Installed Components\"键值下的{286B99E4-3C9B-25EF-D603-A78D81C73EED}键,并重新创建该项,并利用该项达到开机病毒自启动,创建病毒互斥体")!VoqA.I4",遍历进程查找"explorer.exe"进程,找到之后打开进程申请内存空间向该进程写入3342字节病毒数据,调用远程线程函数来执行被注入的病毒代码,病毒代码被执行后拷贝自身文件到%Systme32%目录下,开启一个iexplore.exe进程,若iexplore.exe进程被结束explorer.exe进程则会重新建立iexplore.exe进程,等待客户端做出消息响应。

安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ======================================================================================================



中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
页: [1]
查看完整版本: 2010年05月10日【控制者木马将病毒数据写入进程】