安天实验室7月24日病毒预警
出处:安天实验室 时间:2008年7月24日
一、“木马下载者变种jsy”(Trojan.Win32.Pakes.jsy) 威胁级别:★★★★
该病毒为木马下载器病毒,运行之后调用系统内核程序“ntkrnlpa.exe”,调用API函数GetLocalTime与SetLocalTime获取系统当前时间并把时间修改为2000年,释放驱动文件atapi.sys到%System32%\drivers下,替换系统的驱动文件,恢复SSDT上主动防御挂钩的函数使卡巴斯机主动防御功能完全失效,创建275458c049c6f881.dat文件到%HomeDrive%目录下,并创建服务等待服务加载完毕后将病毒服务与dat文件删除。向系统系统进程“explorer.exe”进程注入病毒代码,使其进程执行病毒指定的恶意代码,隐藏加载iexplore.exe系统进程,将275458c049c6f881.dat病毒文件代码写入该进程内存中,等待病毒完全加载完毕后衍生批处理文件将病毒自身删掉,连接网络下载大量病毒文件。
二、“偷盗者acsr”(Trojan-PSW.Win32.OnLineGames.acsr) 威胁级别:★★★
该病毒属于木马类,病毒运行后复制自身到%Temp%目录下,更名为tru1.tmp,在各个驱动器根目录下衍生du08sout.cmd和autorun.inf文件,以达到用户双击盘符运行病毒的目的;衍生文件到%System32%目录下,将衍生文件加载到Explorer.exe进程;修改注册表创建启动项,使病毒文件随机运行;修改注册表,使用户无法显示隐藏文件;为各个盘符设置打开方式;连接网络下载病毒文件,执行下载的病毒文件时加载动态链接库文件到桌面进程时,将导致桌面进程崩溃;病毒运行完毕后删除自身。
安天反病毒工程师建议
1.最好安装安天防线,防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年7月24日的病毒库即可查杀以上病毒;如果尚未安装安天防线,请点击此处免费下载最新版安天防线来防止病毒入侵。 |
|