安天实验室7月16日病毒预警
出处:安天实验室 时间:2008年7月16日
一、“木马下载者xwr”(Trojan-Downloader.Win32.Small.xwr) 威胁级别:★★★
该病毒为木马下载器类,运行之后判断注册表项是否存在JavaView键值,如果存在则将其删除,病毒调用API函数OpenMutexA创建病毒互斥量__DL_CORE4GAEX_MUTEX__,防止病毒多次运行,判断是否有此互斥,如果有则跳过不释放病毒DLL,如果无则继续执行以下步骤,病毒调用API函数GetFileAttributesA,获取目录文件列表是否大于10个,如果大于等于10个则跳过不创建AppPatch目录,如果小于10则创建此目录,创建病毒DLL文件DesktopWin.dll到AppPatch目录下,判断病毒DLL文件字节是否大于34,如果是则跳过不写入病毒代码,如果小于则调用WriteFile将病毒代码写入DLL文件中,新增注册表项,创建CLSID值,添加启动项,在ShellServiceObjectDelayLoad键下添加DesktopWin键值,当系统启动时利用Explorer.exe进程自动加载病毒组件,以命令行方式调用rundll32 "%s",UIMessage,由rundll32.exe创建%Windir%\AppPatch\AclLayer.dll文件,获取系统目录创建BAT批处理文件并加载批处理文件将病毒原文件删除,当加载病毒DLL文件后将会连接网络下载大量病毒文件。
二、“盗窃者变种aprb”(Trojan-PSW.Win32.OnLineGames.aprb) 威胁级别:★★★
该病毒为盗窃网络游戏“彩虹岛”账号的木马。病毒运行后,复制自身、衍生含有隐藏属性的病毒文件bndfxdh.cfg、bndfxdh.dll、ghjsw.dll、zxdtye.dll到%WinDir%下,其中bndfxdh.dll、ghjsw.dll、zxdtye.dll的修改时间被设置为系统初装日期。添加启动项,以达到当任意用户启动系统时运行该病毒文件。病毒试图通过全局挂钩把bndfxdh.dll注入到所有进程中,通过给当前系统内执行的进程拍快照,然后遍历快照中记录的进程列表,来判断是否存在AVP.exe进程,存在便修改系统时间为2003年,月、日不变,以使卡巴斯基过期失效;如果发现LaTaleClient.exe进程,便结束其进程,当用户再次登陆时,通过读取server.dat来获得用户所在服务器相关信息,通过截获当前用户的键盘和鼠标消息以获取网络游戏“彩虹岛”的账号及密码,发送到病毒作者指定的URL。该病毒在实现完自身代码后,便会结束自身进程,删除自身文件。
安天反病毒工程师建议
1.最好安装安天防线,防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年7月16日的病毒库即可查杀以上病毒;如果尚未安装安天防线,请点击此处免费下载最新版安天防线来防止病毒入侵。 |
|