安天实验室8月14日病毒预警
安天实验室8月14日病毒预警出处:安天实验室 时间:2008年8月14日
一、“琼度btu”(Rootkit.Win32.Agent.btu) 威胁级别:★★★★
该病毒后门类,病毒运行后获取系统文件夹路径%System32%\drivers\beep.sys,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除,并创建一个同名的文件,以系统原服务加载病毒释放的驱动文件,达到不对注册表操作的目的,即可躲避多款杀软的主动防御,释放驱动文件恢复SSDT使卡巴主动防御失效,等待加载完驱动后将beep.sys驱动文件删除,释放临时文件1923531_res.tmp到%temp%目录下,将文件创建时间修改成2004年然后将文件拷贝到%System32%目录下并重命名为:BITSEx.dll,执行完毕后将临时文件1923531_res.tmp删除,修改添加注册表病毒项,将病毒BITSEx.dll文件注入到svhost.exe进程中,等待病毒执行完以上操作将以命令行方式删除病毒自身,等待接受病毒作者发送的控制指令,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。
二、“代理下载者rqj”( Trojan-Downloader.Win32.Agent.rqj) 威胁级别:★★★
该病毒为下载者木马类,病毒运行后调用API函数CreateMutexA创建互斥量,在%Windir%目录下创建Down_Temp文件夹,并在该文件夹下创建一个list.jpg文件,该文件为病毒下载列表,调用URLDownloadToFileA函数读取列表访问网络下载病毒文件,下载完毕后删除list.jpg文件,下载的病毒文件多数为盗号木马类,给用户清理造成很大的不便。
安天反病毒工程师建议
1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年8月14日的病毒库即可查杀以上病毒;如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。
页:
[1]