安天实验室9月10日病毒预警
出处:安天实验室 时间:2008年9月10日
一、“偷盗者snxy”(Trojan-GameThief.Win32.OnLineGames.snxy) 威胁级别:★★★
该病毒为盗梦幻西游online游戏账号的木马,病毒运行后查找%System32%目录下的Verclsid.exe,找到将其删除,衍生病毒文件“mttwfh.dll”到%System32%目录下,添加注册表注册病毒CLSID值及HOOK启动项,遍历进程搜索“AVP.exe”,如找到则释放winsYs.reg文件,用来添加病毒HOOK启动项,如找不到“AVP.exe”进程,释放tf0文件到%System32%目录下,调用API对注册表添加病毒HOOK项,等待添加病毒HOOK项完毕后将tf0文件删除,调用LoadLibraryA将病毒DLL加载到进程,试图将病毒DLL文件注入到除smss.exe、csrss.exe、winlogon.exe以外的所有进程,衍生的DLL文件主要功能:通过截获当前用户的键盘和鼠标消息以获取游戏的账号及密码,发送到病毒作者指定的URL。
二、“AV终结者”(Trojan.Win32.KillAV.ww) 威胁级别:★★★★
该病毒下载者木马类,病毒运行后调用API获取系统文件夹路径,在%System32%目录下创建病毒文件adfbaa.exe(随机病毒名),并加载创建该病毒进程,遍历进程查找是否存在以下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除,并创建一个同名的文件,释放驱动文件恢复SSDT使卡巴主动防御失效,衍生的adfbaa.exe判断进程是否存在AVP.exe如存在则设置系统时间为1900年,添加注册表映像劫持,劫持多款安全软件,使系统安全性降低,连接网络读取列表下载大量恶意文件到本地运行,经分析下载的文件多为盗号木马,给用户清理带来极大的不便!
安天反病毒工程师建议
1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年9月10日的病毒库即可查杀以上病毒;如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。 |
|