找回密码
 注册创意安天

avp杀手再攀高峰 机器狗变种再次来袭

[复制链接]
发表于 2008-6-12 09:32 | 显示全部楼层 |阅读模式
以下是2008年6月12日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
        ===========================================================================================================================================
        安天实验室每日病毒预警

一、“avp杀手”(Worm.Win32.Downloader.lv)  威胁级别★★★★
     该病毒为蠕虫病毒,病毒运行后,获取本地时间,病毒通过调用Process32Next函数遍历进程搜索"AVP.EXE"安全软件进程,如果存在则把系统时间修改成2001年5月, 目的使卡巴主动失效,创建注册表病毒服务项、映像劫持多款安全软件,目的使系统安全性降低,查找svchost.exe进程,通过GetProcessMemory函数读取内存空间,查到该进程后申请内存空间并创建进程,连接网络下载大量恶意文件并运行,给用户清除病毒带来极大的不便。

二、“机器狗变种”( Trojan-PSW.Win32.OnLineGames.aijq)  威胁级别★★★★★
    该病毒为下载者木马类,病毒运行后衍生ctfmon.exe到%Windir%目录下,测试是否能访问www.google.cn或[url]www.baidu.com[/url],如能访问则连接网络读取列表下载大量恶意文件,并调用ShellExecute函数打开该病毒文件,判断当前进程里是否存在BKPCLIENT.EXE(贝壳磁盘保护)进程,不存在写驱动穿以下还原及安全系统,GUARDFIELD.EXE(360还原保护器)、BARCLIENTVIEW.EXE(网维大师)、FRZSTATE2K.EXE(冰点还原精灵)、QZCLIENT.EXE(网吧系统防护程序),将%Windir%目录下的Explorer.exe复制到%System32%目录下,之后将Explorer.exe进程结束后加载%System32%目录下的Explorer.exe,并感染%Windir%目录下的Explorer.exe文件,该病毒调用IsDebuggerPresent检测反调试器,如发现反调试器则调用shutdown函数立即执行关闭计算机操作,病毒运行后创建emsf3.bat文件并调用其删除自身。

安天反病毒工程师建议
        1.最好安装安天防线2008防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线2008到2008年6月12日的病毒库即可查杀以上病毒;如未安装安天防线2008,可以登录http://www.antiy.com免费下载最新版安天防线来防止病毒入侵。
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-22 21:52

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表