安天实验室8月21日病毒预警
安天实验室8月21日病毒预警出处:安天实验室 时间:2008年8月21日
一、“疯狂下载者pu”(Worm.Win32.Downloader.pu) 威胁级别:★★★★
该病毒为蠕虫木马类,病毒运行获取系统进程,查找进程中是否存在AVP.exe(卡巴斯基杀毒软件),如找到该进程则把当前系统时间修改为2001年,目的使卡巴主动防御失效,遍历System32目录查找\s*st.exe的文件,找到svchost.exe文件后,创建一个进程并调用ReadProcessMemory函数读写该进程内存,调用ZwUnmapViewOfSection获取当前进程映射的基址,然后调用WriteProcessMemory函数对内存地址写入病毒数据,创建注册表病毒服务项、映像劫持多款安全软件,目的使系统安全性降低,连接网络读取列表下载大量恶意文件并运行,给用户清除病毒带来极大的不便。
二、“木马下载者xwr”(Trojan-Downloader.Win32.Small.xwr) 威胁级别:★★★
该病毒为下载类木马,病毒运行后,衍生病毒文件DesktopWin.dll到%Windir%\AppPatch下;新增注册表项,创建CLSID值,添加启动项,在ShellServiceObjectDelayLoad键下添加DesktopWin键值,当系统启动时利用Explorer.exe进程自动加载病毒组件,并查找此项下是否存在JavaView键值,若存在,便删除;以命令行方式调用rundll32.exe,由rundll32.exe创建%Windir%\AppPatch\AclLayer.dll文件;当该病毒执行完自身代码后,会结束自身进程,在%System32%下衍生unxxx.bat,目的是为了删除该病毒文件和自身;连接网络,下载大量病毒文件并在本机运行。
安天反病毒工程师建议
1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年8月21日的病毒库即可查杀以上病毒;如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。
页:
[1]