安天实验室8月4日病毒预警
安天实验室8月4日病毒预警出处:安天实验室 时间:2008年8月4日
一、“运输者ioq”(Trojan-Downloader.Win32.Cntr.ioq)威胁级别:★★★★
该病毒为蠕虫类病毒,病毒运行之后创建互斥量“gagagaradio”,防止病毒多次运行,调用HttpOpenRequestA隐藏打开一个Internet Explorer连接,到指定网站读取信息,创建一个svcp.csv文件到%System32%目录下,调用API函数InternetReadFile读取网络信息,将信息保存到svcp.csv文件中,调用InternetQueryDataAvailable函数,在%System32%目录下创建一个back.exe利用远程调用代码技术获取网络信息将病毒数据分段写入该文件中,访问网络判断病毒数据大小是否满足条件如满足则调用下载后的病毒文件运行,并将svcp.csv文件删除,修改及删除注册表,下载后的back.exe行为分析:调用back.exe调用函数,释放驱动文件“glok+3c51-3a43.sys、glok+serv.config”(其中glok为固定不变的其它为随机数字或字母),到%Windir%目录下,EnumServicesStatus 枚举系统服务,判断现有服务是否存在病毒服务,如存在则不创建病毒服务,否则创建病毒病毒服务,在本地按顺序隐藏打开病毒预定好的大量地址。
二、“盗取者aieb”(Trojan-PSW.Win32.OnLineGames.aieb)威胁级别:★★★
该病毒为盗窃网络游戏“QQ自由幻想”账号的木马。病毒运行后,复制自身到%WinDir%下,衍生病毒文件ticisms.dll到%System32%下;添加启动项,以达到随机启动的目的;病毒试图通过全局挂钩把ticisms.dll注入到所有进程中,遍历所有进程,发现qqffo.exe进程,便注入其中并监视其进程,通过截获当前用户的键盘和鼠标消息以获取网络游戏“QQ自由幻想”的账号及密码,发送到病毒作者指定的URL;该病毒在实现完自身代码后,便会结束自身进程,删除自身文件。
安天反病毒工程师建议
1.最好安装安天防线,防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年8月4日的病毒库即可查杀以上病毒;如未安装安天防线,请点击此处免费下载最新版安天防线来防止病毒入侵。
页:
[1]