安天实验室7月17日病毒预警

安天实验室7月17日病毒预警
出处：安天实验室 时间：2008年7月17日
  
一、“代理木马amb”（Trojan-PSW.Win32.Agent.amb） 威胁级别：★★★★
　　该病毒为新破天一剑盗号木马，病毒运行之后获取系统目录将%System32%目录下的SFC_OS.DLL文件复制到%HomeDrive%目录下，调用LoadLibraryA加载该dll，然后再释放此动态链接库，然后将%HomeDrive%目录下的SFC_OS.DLL文件删除掉，释放驱动文件np3wod.sys到%system32%目录下，将%system32%\drivers目录下beep.sys驱动文件改名为beep.bin，释放病毒驱动文件beep.sys到%system32%\drivers目录下，恢复SSDT上主动防御挂钩的函数令主动防御功能完全失效，等待加载完毕后将病毒驱动删除并把原来系统驱动还原，添加注册表启动项、调用API函数ZwQuerySystemInformation枚举内核模块，调用LoadLibraryA将ntkrnlpa.exe加载将KeServiceDescriptorTable导出（KeServiceDescriptorTable表还包含一个指向SSDT的指针），衍生病毒NTNSDKWOW.dll文件到%System32%目录下，病毒试图通过全局挂钩把NTNSDKWOW.dll注入到所有进程中，创建w1.BAT批处理文件删除病毒自身。通过键盘记录用户帐户及密码，以URL方式发送到指定的地址中。

二、“木马下载者ncg”（Trojan-Downloader.Win32.Agent.ncg）威胁级别：★★★
　　该病毒木马下载者，病毒运行后释放ctfmon.exe文件到%Windir\目录下，并释放驱动文件ntdfdisk.sys%System32%\drivers\目录下，创建注册表服务项，启动后删除ntdfdisk.sys与注册表相关键值。并向正常的exlorer.exe文件写入数据，造成用户的explorer.exe进程瞬间崩溃，判断当前进程里是否存在BKPCLIENT.EXE和MENU.EXE（贝壳磁盘保护）2个进程，存在写驱动穿透还原系统。释放的BAT文件，删除病毒释放到的各个文件下的文件，连接网络下载多个恶意程序，由于病毒种类繁多，给用户清理病毒带来极大的不便。
    病毒jkhxaklo.dll文件的行为：监视QQLogin.exe登陆窗口一但发现将密码用户名截取后，通过以URL方式发送到作者指定的地址中。

安天反病毒工程师建议
　　1.最好安装安天防线，防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
　　2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线到2008年7月17日的病毒库即可查杀以上病毒；如未安装安天防线，请点击此处免费下载最新版安天防线来防止病毒入侵。