以下是2010年6月17日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
======================================================================================================
安天实验室每日病毒预警
一、“疯狂下载者”(Trojan/Win32.Win32.Agent.dkpa[Downloader]) 威胁级别:★★★★
该恶意代码文件为木马,病毒运行后初始化socket与控制端建立网络进行通信,如果连接失败调用函数获取随机数,将随机数作为休眠参数传给SLEEP函数执行,休眠一段时间再次重新建立连接直到连接成功为止,建立连接成功之后向客户端发送本机计算机名称,服务器将返回URL下载连接地址,病毒创建2个线程,线程1负责连接网络发送请求,线程2负责接收服务器返回的数据,衍生病毒文件到%WINDIR%目录下,衍生的病毒文件运行后释放驱动文件恢复SSDT、添加注册表病毒服务、服务启动之后删除驱动文件,拷贝自身到%WINDIR%目录下命名为csrse.exe,连接网络下载病毒文件,并尝试向指定域名请求数据,因下载的病毒文件根据客户端服务器而变化不固定、可能有盗号木马和远程控制类木马。
二、“本地磁盘模拟者”(Trojan/Win32.Agent.bpvh[Dropper]) 威胁级别:★★★★
该病毒为木马类病毒,病毒运行后,创建进程加载病毒DLL文件,添加注册表启动项,创建相应快捷方式文件到桌面,将病毒dll文件注入到Explorer.exe进程中,调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下,病毒DLL文件主要行为:当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载,当用户选择“是”则会连接网络下载文件,当用户选择“否”则会弹出一个网页模拟本地磁盘,显示存在的威胁数量并提示用户是否下载扫描器,严重影响用户对本地磁盘的正常浏览。
安天反病毒工程师建议
1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
======================================================================================================
中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net |
|