找回密码
 注册创意安天

2010年3月29日【捆绑者木马在后台打开多个恶意连接】

[复制链接]
发表于 2010-3-29 13:22 | 显示全部楼层 |阅读模式
以下是2010年3月29日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
        ======================================================================================================
        安天实验室每日病毒预警

一、“捆绑者”(Trojan/Win32.Ekafod.q[Dropper])  威胁级别:★★★★
      病毒运行后获取系统时间来作为衍生的随机病毒文件名,添加病毒注册表启动项,遍历进程查找"ravmond.exe"进程,衍生多个病毒DLL文件到%System32%目录下,检测%System32%\dllcache目录下是否存在该DLL文件如不存在则衍生相同文件到该目录下,检测D盘下是否存在ssshall目录,如不存在则创建,并将创建的目录属性设置为隐藏,调用regsvr32 /s注册病毒衍生的DLL组件,调用rundll32.exe隐藏安装病毒DLL文件,衍生病毒EXE文件到System32%目录下并命名为Dofake.exe,将D盘下所有文件夹设置为隐藏,并将所有文件夹名字记录下来,将除系统盘外所有磁盘的根目录下所有文件夹属性设置为隐藏,再创建以文件夹名字命名的.exe文件,使其不被用户发现,当用户双击打开文件夹时先执行病毒文件之后病毒文件调用EXPLORER.EXE资源管理器方式再打开真正的文件夹,被感染的机器连接网络在后台隐藏打开多个恶意连接。

二、“记录间谍”(Trojan/Win32.KeyLogger.dzk[Spy])  威胁级别:★★★★
     该病毒图标为jpg格式文件图标;该文件是由一个图片文件和一个病毒文件用winrar组成的自解压复合文件;病毒运行后衍生病毒文件到%Windir%目录下,衍生图片文件到%Windir%\temp下,用以迷惑用户;修改注册表添加启动项,使病毒文件随机启动;病毒运行后记录当前用户的键盘操作,保存到%Windir%目录下的winhlp32.hlp文件中;连接FTP服务器,将捕获的键盘数据发送到指定的目录。该病毒通过病毒作者向攻击目标的email地址发送邮件的方式进行传播。

安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ======================================================================================================



中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-26 02:28

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表