avengert 发表于 2008-8-21 09:23

安天实验室7月23日病毒预警

安天实验室7月23日病毒预警
出处:安天实验室 时间:2008年7月23日

一、“AV终结者ww”(Trojan.Win32.KillAV.ww) 威胁级别:★★★★
    该病毒下载者木马类,病毒运行后调用API获取系统文件夹路径,在%System32%目录下创建病毒文件 adfbaa.exe(随机病毒名),并加载创建该病毒进程,遍历进程查找是否存在以下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除,并创建一个同名的文件,释放驱动文件恢复SSDT使卡巴主动防御失效,衍生的adfbaa.exe判断进程是否存在AVP.exe如存在则设置系统时间为1900年,添加注册表映像劫持,劫持多款安全软件,使系统安全性降低,连接网络读取列表下载大量恶意文件到本地运行,经分析下载的文件多为盗号木马,给用户清理带来极大的不便!

二、“木马下载者gzt”(Trojan-Downloader.Win32.Delf.gzt)威胁级别:★★★★
    该病毒为木马类。病毒运行后复制多个自身到系统目录下和All Users用户下的启动文件夹下;并释放autorun.inf文件和本体到磁盘根目录下,以达到打开磁盘运行病毒和感染可移动传输介质,并将autorun.inf文件内容备份到h.bmp中;并将病毒主文件设置为隐藏属性;修改注册表添加启动项,将启动项键值指向系统目录下的病毒文件,修改隐藏文件显示属性,使得用户无法发现病毒文件,映像劫持多种防病毒软件,使得防病毒软件失效。该病毒会连接指定地址下载大量病毒,病毒下载后自动运行,其中以盗号木马居多。给病毒的清理带来了一定的困难。

安天反病毒工程师建议
    1.最好安装安天防线,防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年7月23日的病毒库即可查杀以上病毒;如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。
页: [1]
查看完整版本: 安天实验室7月23日病毒预警