安天实验室9月16日病毒预警
出处:安天实验室 时间:2008年9月16日
一、“爱丽斯”(Trojan-Downloader.Win32.Small.zjt) 威胁级别:★★★★
该病毒为广告件类病毒,病毒运行之后调用FindFirstUrlCacheEntryA,获取IE缓存地址信息,删除internet临时文件夹的文件,调用API函数GetKeyboardLayoutList获得系统适用的所有键盘布局的一个列表,调用CreateMutex创建一个互斥体,MutexName = "{A56DECD8-1102-49e9-BFD5-17FBE35197F2}"防止病毒多次运行,复制自身并衍生病毒文件lphcrm3j0e37v.exe、phcrm3j0e37v.bmp、pphcrm3j0e37v.exe(随机文件名)文件到%System32%目录下,并添加到注册表桌面项某些键值替换为病毒释放的bmp文件,将现有的桌面背景替换为病毒释放的bmp文件,设置属性为不可更改,使用户无法替换桌面背景,将病毒lphcrm3j0e37v.exe文件添加到注册表启动项,达到开机自启动目的,获取临时%temp%目录文件夹,释放.ttE.tmp.vbs脚本文件,调用ShellExecuteW将其运行,等待1000ms后再将其删除,获取%System32%目录在此目录下衍生blphcrm3j0e37v.scr屏幕保护程序替换系统现用的屏幕保护程序,调用API连接网络下载恶意程序强制安装antivirus XP 2008软件,病毒运行完毕之后创建BAT批处理文件删除自身。该病毒通过电子邮件传播,
邮件内容为:
New photos and video of Mars. To look only here!
http://dieffe******it/fores/**.php
New photos and video of Mars. To look only here!
http://des*******fr/fores/**.php
二、“偷盗者”(Trojan-GameThief.Win32.OnLineGames.skmj) 威胁级别:★★★★
该病毒下载者木马类,病毒运行之后调用API函数GetSystemDirectoryA获取系统目录,在%System32%目录下创建病毒文件adfbaa.exe(随机病毒名),调CreateProcessA创建病毒进程,遍历进程查找是否存在以下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用LoadLibraryA函数加载SFC.DLL文件,释放批处理文件到%temp%临时目录下,将%System32%\drivers\目录下的beep.sys文件删除,并创建一个同名的文件,释放驱动文件恢复SSDT使卡巴主动防御失效,衍生的adfbaa.exe行为分析:释放驱动文件pcxyqr.sys,摘掉钩子使卡巴主动防御完全失效,创建病毒服务,添加注册表映像劫持,遍历进程查找“drvanti.exe”驱动防火墙进程,如找到则调用API函数TerminateProcess强行结束该进程,连接网络读取TXT列表下载大量恶意文件,经分析下载的大量文件均为盗号木马,给用户清理代理及大的不便。
安天反病毒工程师建议
1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年9月16日的病毒库即可查杀以上病毒;如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。 |
|