avengert 发表于 2008-8-21 09:21

安天实验室7月17日病毒预警

安天实验室7月17日病毒预警
出处:安天实验室 时间:2008年7月17日

一、“代理木马amb”(Trojan-PSW.Win32.Agent.amb) 威胁级别:★★★★
  该病毒为新破天一剑盗号木马,病毒运行之后获取系统目录将%System32%目录下的SFC_OS.DLL文件复制到%HomeDrive%目录下,调用LoadLibraryA加载该dll,然后再释放此动态链接库,然后将%HomeDrive%目录下的SFC_OS.DLL文件删除掉,释放驱动文件np3wod.sys到%system32%目录下,将%system32%\drivers目录下beep.sys驱动文件改名为beep.bin,释放病毒驱动文件beep.sys到%system32%\drivers目录下,恢复SSDT上主动防御挂钩的函数令主动防御功能完全失效,等待加载完毕后将病毒驱动删除并把原来系统驱动还原,添加注册表启动项、调用API函数ZwQuerySystemInformation枚举内核模块,调用LoadLibraryA将ntkrnlpa.exe加载将KeServiceDescriptorTable导出(KeServiceDescriptorTable表还包含一个指向SSDT的指针),衍生病毒NTNSDKWOW.dll文件到%System32%目录下,病毒试图通过全局挂钩把NTNSDKWOW.dll注入到所有进程中,创建w1.BAT批处理文件删除病毒自身。通过键盘记录用户帐户及密码,以URL方式发送到指定的地址中。

二、“木马下载者ncg”(Trojan-Downloader.Win32.Agent.ncg)威胁级别:★★★
  该病毒木马下载者,病毒运行后释放ctfmon.exe文件到%Windir\目录下,并释放驱动文件ntdfdisk.sys%System32%\drivers\目录下,创建注册表服务项,启动后删除ntdfdisk.sys与注册表相关键值。并向正常的exlorer.exe文件写入数据,造成用户的explorer.exe进程瞬间崩溃,判断当前进程里是否存在BKPCLIENT.EXE和MENU.EXE(贝壳磁盘保护)2个进程,存在写驱动穿透还原系统。释放的BAT文件,删除病毒释放到的各个文件下的文件,连接网络下载多个恶意程序,由于病毒种类繁多,给用户清理病毒带来极大的不便。
    病毒jkhxaklo.dll文件的行为:监视QQLogin.exe登陆窗口一但发现将密码用户名截取后,通过以URL方式发送到作者指定的地址中。

安天反病毒工程师建议
  1.最好安装安天防线,防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
  2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年7月17日的病毒库即可查杀以上病毒;如未安装安天防线,请点击此处免费下载最新版安天防线来防止病毒入侵。
页: [1]
查看完整版本: 安天实验室7月17日病毒预警