安天实验室7月18日病毒预警
出处:安天实验室 时间:2008年7月18日
一、“AV终结者ww”(Trojan.Win32.KillAV.ww) 威胁级别:★★★★
该病毒为“AV终结者”的变种,病毒运行后,在%System32%下创建主文件名为随机6位字母的jfgdaz.exe,将%System32%\drivers\目录下的beep.sys替换为同名的病毒文件,并同一目录下衍生另一个主文件名为随机6位字母的驱动文件ababop.sys,在%Temp%下衍生_tmp.bat,由病毒服务加载后便删除此文件;新增注册表项,创建两个服务名都为随机字母的病毒服务,映像劫持多个系统进程、多款安全软件进程,以降低系统的安全性;连接网络,下载病毒列表文件css.txt,然后对照css.txt列表内容来下载大量病毒文件并在本机运行,经分析大多数病毒文件为网络游戏盗号木马;该病毒在实现完自身代码后,便会结束自身进程,删除自身。
二、“偷盗者变种appy”(Trojan-PSW.Win32.OnLineGames.appy) 威胁级别:★★★
该病毒为QQ华夏2盗号木马,病毒运行之后获取系统目录,在%System32%目录下释放病毒文件:vlhxaklo.sys、jkhxaklo.dll、qbhxaklo.sys,并将自身复制到此目录下命名为:dehxaklo.exe,调用API函数SetFileAttributesA修改病毒文件属性,将文件修改日期修改为2004-08-08并将属性修改为隐藏,使用户无法轻易发现病毒文件,新增注册表项,创建CLSID值,添加到HOOK项启动,将病毒DLL注册为BHO浏览器辅助对象,并将jkhxaklo.dll病毒文件注入到Explorer.exe进程中,遍历进程查找hx2game.exe进程名,如找到则调用API函数TerminateProcess将游戏进程结束,目的使用户再次登陆时以便记录账号及密码,获取临时目录释放BAT批处理文件,等待病毒完全加载执行完毕后删除病毒自身。
病毒jkhxaklo.dll文件的行为:监视QQLogin.exe登陆窗口一但发现将密码用户名截取后,通过以URL方式发送到作者指定的地址中。
安天反病毒工程师建议
1.最好安装安天防线,防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年7月18日的病毒库即可查杀以上病毒;如果尚未安装安天防线,请点击此处免费下载最新版安天防线来防止病毒入侵。 |
|