开开 发表于 2009-11-12 14:35

2009年11月12日 【雅虎奇摩盗号木马修改系统时间】

一、“盗号木马”(Trojan/Win32.OnLineGames.vugj) 威胁级别:★★★★
    该恶意代码文件为雅虎奇摩盗号木马类,该木马程序采用了加密处理,目的为了躲避安全软件对其查杀,病毒运行后创建批处理文件到病毒原文件所在目录下,来修改系统时间将系统时间设置为2004年,等待15000MS后再次创建批处理将系统时间设置回当前正确的系统时间,目的为了使安全软件过期失效从而对其无法主动监控查杀15000MS后病毒文件足以创建完毕,创建病毒DLL并拷贝病毒自身文件到Windir\Help目录下,并将属性设置为隐藏,试图将病毒DLL文件注入到所有进程中,病毒文件创建完后,释放批处理文件用于删除病毒原文件体,遍历“yahoobuddymain”窗口,利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号等信息,并在后台将窃得的信息发送到作者指定的收信地址。

二、“控制者”(Trojan/Win32.Agent.aggr[Dropper) 威胁级别:★★★★
    该恶意代码文件为远程控制后门类木马,病毒运行后创建Server.tmp病毒文件到临时目录下,写入126976字节病毒数据,动态加载Server.tmp文件,解密病毒资源信息包括(病毒的连网上线地址、端口、服务名),将Server.tmp移动到%System32%目录内,调用rundll32.exe命令隐藏启动病毒DLL文件,添加注册表病毒服务使服务达到开机自启动目的,病毒运行完后调用CMD删除自身文件,开启SVCHOST.EXE进程连接到作者指定的地址,等待接收病毒作者发送的控制指令,被感染的机器会被病毒作者完全控制释放批处理文件用于删除病毒自身文件。


安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新,如未安装安天防线请点击此处(http://www.antiyfx.com/download.htm)免费下载最新版安天防线来防止病毒入侵。
页: [1]
查看完整版本: 2009年11月12日 【雅虎奇摩盗号木马修改系统时间】