avengert 发表于 2008-8-21 09:23

安天实验室7月25日病毒预警

安天实验室7月25日病毒预警
出处:安天实验室 时间:2008年7月25日

一、“木马下载者gkm”(Trojan-Downloader.Win32.Small.gkm) 威胁级别:★★★★
    该病毒为木马下载者病毒,病毒运行后获取系统文件夹路径,释放驱动文件到%system32%\drivers\目录下,重命名为uuid.sys,等待加载驱动成功后将该驱动文件删除,加载urlmon.dll调用urldownloadtofileaAPI函数,并隐藏创建IExplorer.exe进程写入224字节数据连接网络下载文件,将下载后的文件保存到%Documents and Settings%\当前所在用户\Local Settings\Temp目录下,重命名为:update.exe,并自动运行该病毒文件,衍生病毒DLL文件到%Windir%目录下并重命名为:linkinfo.dll并将其注入到Explorer.exe进程中,创建BAT文件删除自身,生成驱动文件%SystemRoot%\system32\drivers\ IsDrv118.sys (加载后删除),并调用ZwSetSystemInformation加载驱动,病毒通过检查是否是在VMWare下运行,如果是直接关闭虚拟机,以此来防止自己在虚拟机中被运行,从"%Windir%"目录开始感染所有磁盘中后缀名为"exe"的文件,病毒在感染时,不感染"QQ"、"winnt"和"windows"目录下的程序文件,通过修改卡卡助手的驱动"%system32%\drivers\RsBoot.sys"入口,使该驱动在加载时失败,枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称为"setup.exe"的病毒源文件,尝试连接时使用"Administrator"作为用户名。

二、“盗号木马zfe”( Trojan-PSW.Win32.OnLineGames.zfe) 威胁级别:★★★
    该病毒为盗窃网络游戏“传奇世界”账号的木马,病毒运行后,复制病毒文件到系统目录%System32%下,命名为ttNNBNNB1047.exe,并在此目录下衍生病毒文件ttNNBNNB1047.dll;新增注册表项,把ttNNBNNB1047.dll注入到Explorer.exe进程,以达到随机启动的目的;通过截获用户的键盘和鼠标消息获取“传奇世界”的账号和密码,发送给病毒作者指定的URL。

安天反病毒工程师建议
    1.最好安装安天防线,防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年7月25
页: [1]
查看完整版本: 安天实验室7月25日病毒预警