“代理下载者rqj”来袭 小心百变木马
以下是2008年7月2日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.===========================================================================================================================================
安天实验室每日病毒预警
一、“代理下载者rqj”(Trojan-Downloader.Win32.Agent.rqj)威胁级别:★★★★
该病毒为下载者木马类,病毒运行后调用API函数CreateMutexA创建互斥量,在%Windir%目录下创建Down_Temp文件夹,并在该文件夹下创建一个list.jpg文件,该文件为病毒下载列表,调用URLDownloadToFileA函数读取列表访问网络下载病毒文件,下载完毕后删除list.jpg文件,下载的病毒文件多数为盗号木马类,给用户清理造成很大的不便。
二、“百变木马变种aocg”(Trojan-PSW.Win32.OnLineGames.aocg)威胁级别:★★★★★
该病毒下载者木马类,病毒运行后调用API获取系统文件夹路径,在%System32%目录下创建病毒文件ajfcaa.exe(6位随机病毒名),并加载创建该病毒进程,遍历进程查找是否存在一下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除,并创建一个同名的文件,创建dat文件到临时目录,创建注册表病毒服务,等待加载完毕后将dat文件删除,添加注册表映像劫持,劫持多款安全软件,使系统安全性降低,利用ZwQuerySystemInformation()枚举内核模块,遍历进程查找:DrvAnti.exe(驱动防火墙)、csrss.exe(系统进程),如找到则强行结以上2个进程,病毒运行后自我删除,连接网络读取列表下载大量恶意文件到本地运行,经分析下载的文件多为盗号木马,给用户清理带来极大的不便!
安天反病毒工程师建议
1.最好安装安天防线2008防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线2008到2008年7月2日的病毒库即可查杀以上病毒;如未安装安天防线2008,可以登录http://www.antiy.com免费下载最新版安天防线来防止病毒入侵。
页:
[1]