2009年9月22日 【受灰鸽子变种感染用户被远程控制】

以下是2009年9月22日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件：avengert@antiy.net，我们会尽快予以答复.
        ======================================================================================================
        安天实验室每日病毒预警

一、“vb木马vse”（Trojan/Win32.VB.vse）  威胁级别：★★★★
     该病毒为木马类，病毒运行后复制自身到系统目录，衍生病毒文件。 修改注册表，添加启动项，以达到随机启动的目的。添加防火墙规则到Windows Firewall授权软件列表，使病毒穿透防火墙不受阻挡。强行设置主页，修改hosts 文件信息。主动连接网络，下载相关病毒文件信息。

二、“灰鸽子变种”（Backdoor/Win32.Hupigon.hypj）  威胁级别：★★★★
    该恶意代码文件为灰鸽子变种木马，病毒运行后遍历%System32%\drivers目录，查找该目录是否存在"klif.sys"文件，创建一个IEXPLORE.EXE进程，读取进程内存为4D5A0400（MZ标志）地址，查询内存地址为1000的位置，动态加载NTDLL.DLL库文件，调用"ZwUnmapViewOfSection"函数获取当前进程映射的基址，将病毒自身00400000处起始长度为1212416字节代码写入到进程内存中，开启线程连接远程IP等待控制者发送控制命令，将自身拷贝到系统目录下，添加病毒服务以服务方式启动病毒文件，病毒运行后删除自身，开启一个calc.exe进程来保护IEXPLORE.EXE一旦发现该进程被结束则再次启动IEXPLORE.EXE进程，受感染的用户会被远程桌面监控、远程视频监控、远程文件操作、语音监听等操作。


安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新；如未安装安天防线，可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ======================================================================================================



中国安天实验室
通讯地址：哈尔滨898邮政信箱
邮政编码：150006
Welcome to visit Antiy Labs
中文站 ：http://www.antiy.com
English：http://www.antiy.net