avengert 发表于 2008-7-8 09:39

蠕虫家族添新丁 小心“下载者qs

以下是2008年7月7日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
        ===========================================================================================================================================
        安天实验室每日病毒预警

一、“下载者qs”( Worm.Win32.Downloader.qs)威胁级别:★★★★
   该病毒为蠕虫类,病毒运行后,在%Systme32%下衍生病毒文件atielf.dat;当用户连接Internet时,将读取atielf.dat进而获取病毒列表文件update.txt中的URL,从而下载并读取其信息下载病毒文件在本机运行;通过给当前系统内执行的进程拍快照,来判断是否存在AVP.exe进程,存在便通过API函数"SetSystemTime"修改系统时间为2001年,月、日不变,以使卡巴斯基过期失效。新增注册表项,映像劫持多款安全软件,以降低系统的安全性;调用svchost.exe进程加载病毒服务;此病毒完全执行自身代码后,会结束自身进程、删除自身,病毒还会随机启动。

二、“QQ大盗cdw”( Trojan-PSW.Win32.QQPass.cdw)威胁级别:★★★
    该病毒为盗窃QQ账号的木马,病毒运行后,复制自身到%Program Files%\Internet Explorer\PLUGINS目录下,并重命名为UnixSys32.Jmp,并在该目录下衍生含有隐藏属性的病毒文件UnixSys08.Sys;新建注册表项,创建CLSID值,添加HOOK项,以达到当系统启动的时候利用Explorer.exe进程加载UnixSys08.Sys;浏览器劫持,添加注册表BHO项,用来当IE运行时加载UnixSys08.Sys;并试图通过全局挂钩把UnixSys08.Sys注入到所有进程中,通过截获当前用户的键盘和鼠标消息以获取QQ的账号及密码,发送到病毒作者指定的URL;该病毒在实现完自身代码后,会结束自身进程。


安天反病毒工程师建议
        1.最好安装安天防线2008防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线2008到2008年7月7日的病毒库即可查杀以上病毒;如未安装安天防线2008,可以登录http://www.antiy.com免费下载最新版安天防线来防止病毒入侵。
       
页: [1]
查看完整版本: 蠕虫家族添新丁 小心“下载者qs