avengert 发表于 2009-6-24 10:15

安天实验室6月24日病毒预警

本帖最后由 avengert 于 2009-6-25 10:08 编辑

以下是2009年6月24日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
        ===========================================================================================================================================
        安天实验室每日病毒预警

一、“下载者nmr”(Trojan/Win32.Delf.nmr)威胁级别:★★★★
   该病毒运行后查找系统目录,释放病毒文件到%System32%\drivers\etc,释放病毒配置文件到%System32%下,修改注册表,注册DLL,注册服务,达到开机自启动的目的。在ServiceDLL键下注册病毒DLL文件,用来启动病毒的DLL服务。把病毒动态链接库注入到除winlogon.exe、csrss.exe、smss.exe以外的所有进程中,安装全局钩子,挂钩类型为: WH_GETMESSAGE 用来监控信息。该病毒运行完成后删除自身。病毒会不定期下载病毒文件更新自身,连接网络下载恶意程序到本机运行。

二、“控制者bj”(Backdoor/Win32.Wuca.bj)威胁级别:★★★★
    该恶意代码属后门类,病毒运行后提升进程权限,在%HomeDrive%系统所在分区下创建名为“sa.exe”的目录,并将该目录属性设置为隐藏只读,使用命令行干掉“wuauclt.exe”Windows自动升级管理程序进程,然后拷贝自身病毒文件到字体库文件目录下并命名为“wuauclt.exe”以达到伪装Windows自动升级管理程序文件,调用API函数启动拷贝后的病毒文件,最后使用CMD命令删除病毒原文件,被启动后的病毒判断自身进程路径是否来自“\fonts\wuauclt.exe”目录下,如不是则重新创建、如是加载系统动态库文件“urlmon.dll”,并调用该库里的"URLDownloadToFileA"函数,连接网络下载病毒文件并保存到字体库目录下,比较该目录文件是否存在不存在则弹出消息框退出,如存在则创建多个线程,创建注册表启动项,下载的病毒文件有修改IE主页、利用QQ聊天软件传播病毒自身文件关闭安全软件等操作行为。


安天反病毒工程师建议
        1.最好安装安天防线2008防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ===========================================================================================================================================



中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150060
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
页: [1]
查看完整版本: 安天实验室6月24日病毒预警