安 天 实 验 室 中 国 地 区 每 周 病 毒 报 告
2010年3月15日到3月21日
本周第一位:
Trojan/Win32.Lipler.axkd[Downloader] 该病毒运行后,在系统中创建新的进程,创建互斥体;然后在系统目录创建文件夹,在其中产生衍生物;打开指定的网页,并下载文件到本地计算机上;修改注册表键值。
重点关注:
Trojan/Win32.Vilsel.ogc[GameThief]。该恶意代码文件为梦幻诛仙游戏盗号木马,病毒运行之后在%System32%\drivers目录下创建bmtpws31.dat文件并将病毒作者回传地址及账户信息存放在该文件中,一旦截取到游戏账号和密码则读取该文件中的地址以URL或邮件方式上传到作者指定的地址中,衍生kb****.dll(*号为随机数字)和wsconfig.db文件到%System32%目录下,删除临时目录下的~t12.tmp和~23.tmp文件,拷贝系统imm32.dll文件到临时目录下命名为~t12.tmp并在文件尾部添加一个节名为.ss32,并向该节写入850字节数据修改文件的入口点,拷贝%System32%目录下的imm32.dll改名为imm32.dll.bak,先动态加载一下imm32.dll然后再释放,动态加载sfc_os.dll系统文件,调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护,然后将修改过的imm32.dll拷贝到%System32%目录下替换系统的imm32.dll文件,以达到加载imm32.dll文件来执行病毒代码的目的,遍历进程查找gameclient.exe进程找到之后强行结束该进程,释放BAT批处理文件删除病毒自身文件,将病毒DLL文件注入到conime.exe进程中,病毒DLL文件被注入后创建互斥量M_1484_-1,创建2个线程对比游戏内存16字节数据是否匹配(E621582CC93BB589D16F67488F61D582),如果匹配到,则再次对游戏进程的模块进行对比139字节数据并将匹配后的模块地址保存起来,以上条件成立后则获取当前窗口的坐标并截取下当前窗口作为.\tmpimg.bmp保存到病毒所在目录下以获取密保之类的信息,读取游戏目录下的.\wtf\serveraddr.ini配置文件获取游戏账号所在服务器相关信息,通过内存定位截取游戏账号密码将截取到得账号密码及图片以URL或email方式发送到作者指定的地址中。
专家建议:
1.在任务管理器中查看是否有陌生以及可疑的进程存在。
2.安装安天防线反病毒软件。
3.及时打全系统补丁。
4.及时关注各种应用软件的漏洞并及时更新到应用软件的最新版本。
5.在需要输入游戏账号信息时,打开安天防线反病毒软件的实时监控功能。
6.注意经常更新安天防线反病毒软件的病毒库来阻止被病毒感染。
手动查杀方法:
针对以上病毒,其病毒变种非常之多。其应用技术各不相同所以没有一个固定的手动查杀方法, 只能告诉用户一些基本的杀毒方法,针对微软XP用户:
1.断开网络连接,进行以下操作。
2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。
3.查看是否有陌生程序的启动项,有则找到对应位置,使用安天防线反病毒软件查杀或手动删除。
4.打开“文件夹选项”中的查看隐藏文件等选项,这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改,解决办法使用安天防线反病毒软件扫描或者手动修改。
5.对于使用移动设备时,请先用右键点击查看,是否有“自动运行”项,如有,在使用前用安天防线反病毒软件扫描。
下周病毒预测:
从本周的趋势观察,及据安天实验室捕获统计, 木马类病毒占据了主要的位置,具有偷取用户隐私信息和部分变种具有控制用户机器的功能。提醒广大用户注意保护个人账号密码密保卡等信息。未来一周内此类病毒还会持续上升。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
8.下载软件后应用使用安天防线反病毒软件进行查杀,然后进行使用。 |
|
发表于 2010-3-22 11:12
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡