2010年11月1日【木马病毒伪装杀毒软件修改系统时间】
以下是2010年11月1日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.======================================================================================================
安天实验室每日病毒预警
一、“窃密器”(Trojan/Win32.Papras.ri)威胁级别:★★★★
该病毒运行后会进行自删除,并创建衍生文件到系统目录。遍历进程查找IE,火狐等浏览器,并删除用户计算机上的对应cookie记录,使用户在登陆相关网站时需要重新输入密码。该进程会将窃取到的用户敏感信息通过后台发送到指定的远程服务器站点。该木马还有远程下载恶意代码的能力。
二、“伪装者”(Trojan/Win32.Flux.fm)威胁级别:★★★★
该恶意代码文件为伪杀毒软件,病毒运行后重复调用sprintf无用API函数,干扰安全软件对其查杀,创建一个线程枚举含有"KAVStart"标题的窗口,找到之后发送WM_COMMAND MENU/BN_CLICKED消息,并试图关闭TOOLTIPS_CLASS32工具条,查找标题为“金山毒霸”的窗口,并找到类名为Button的按钮窗口为“是(&Y)”的窗口找到之后发送WM_LBUTTONDOWN模拟点击消息,这样目的是通过安全软件的主动提示放行病毒运行,遍历进程查找AVP.EXE进程找到之后获取系统当前时间比较是不是2005年如果是就不修改系统时间,如果不是则将系统当前时间修改为2005年,设置完毕之后等待20秒之后继续执行病毒代码,将自身以随机病毒名方式拷贝到%System32%目录下,添加注册表病毒服务启动项,在%DriveLetter%下添加autorun.inf使用户双击打开病毒文件。
安天反病毒工程师建议
1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
======================================================================================================
中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
页:
[1]