安天实验室7月27日病毒预警
以下是2009年7月27日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
======================================================================================================
安天实验室每日病毒预警
一、“疯狂下载者nlft”(Trojan/Win32.Agent.nlft)威胁级别:★★★★
该恶意代码为下载者木马,伪装成外挂程序,病毒运行后遍历%Windir%\security目录查找mspump.exe文件,如果找到之后则
调用函数打开该文件,如果找不到则创建该病毒文件到该目录下并将文件属性设置为隐藏,创建批处理文件到该目录下用于添加病
毒服务项,以服务方式启动病毒文件,从而达到躲避安全软件对注册表操作监控报警目的,调用函数弹出错误消息使用户误认为该
文件已经损坏而不认为其是病毒,病毒运行完后删除自身,mspump.exe病毒运行后连接网络发送安装统计信息,并读取TXT列表下
载大量恶意文件。
二、“偷取者aiuf”(Trojan/Win32.Agent.aiuf)威胁级别:★★★★
该恶意代码文件为下载者木马类,病毒原体文件行为:病毒运行后在临时目录下创建smses.exe、svchos.exe病毒文件,调用
函数打开创建后的病毒文件,运行完毕后退出进程。
smses.exe文件行为:创建互斥量名为"abcf",遍历进程查找并强行关闭大量安全软件进程,调用函数执行taskkill/f/im命令
关闭ekrn.exe、egui.exe安全软件进程,创建随机病毒名.dat文件到临时目录下,结束360tray.exe、safeboxtray.exe、avp.exe
等安全进程,调用rundll32.exe使用参数打开临时目录下的病毒文件来结束以上部分安全软件进程,创建注册表病毒服务、添加映
像劫持,连接网络读取列表下载大量恶意病毒文件,执行完毕后删除释放的.dat文件。
svchos.exe文件行为:该文件运行之后弹出标题为“错误”、内容为“本操作仅支持Windows 9X系列”的对话框,主要目的防
止用户起疑心所创建的伪对话框。
安天反病毒工程师建议
1.最好安装安天防线2008防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇
到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安
天防线来防止病毒入侵。
======================================================================================================
中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
页:
[1]