找回密码
 注册创意安天

安天实验室7月25日病毒预警

[复制链接]
发表于 2008-8-21 09:23 | 显示全部楼层 |阅读模式
安天实验室7月25日病毒预警
出处:安天实验室 时间:2008年7月25日
  
一、“木马下载者gkm”(Trojan-Downloader.Win32.Small.gkm) 威胁级别:★★★★
    该病毒为木马下载者病毒,病毒运行后获取系统文件夹路径,释放驱动文件到%system32%\drivers\目录下,重命名为uuid.sys,等待加载驱动成功后将该驱动文件删除,加载urlmon.dll调用urldownloadtofileaAPI函数,并隐藏创建IExplorer.exe进程写入224字节数据连接网络下载文件,将下载后的文件保存到%Documents and Settings%\当前所在用户\Local Settings\Temp目录下,重命名为:update.exe,并自动运行该病毒文件,衍生病毒DLL文件到%Windir%目录下并重命名为:linkinfo.dll并将其注入到Explorer.exe进程中,创建BAT文件删除自身,生成驱动文件%SystemRoot%\system32\drivers\ IsDrv118.sys (加载后删除),并调用ZwSetSystemInformation加载驱动,病毒通过检查是否是在VMWare下运行,如果是直接关闭虚拟机,以此来防止自己在虚拟机中被运行,从"%Windir%"目录开始感染所有磁盘中后缀名为"exe"的文件,病毒在感染时,不感染"QQ"、"winnt"和"windows"目录下的程序文件,通过修改卡卡助手的驱动"%system32%\drivers\RsBoot.sys"入口,使该驱动在加载时失败,枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称为"setup.exe"的病毒源文件,尝试连接时使用"Administrator"作为用户名。

二、“盗号木马zfe”( Trojan-PSW.Win32.OnLineGames.zfe) 威胁级别:★★★
    该病毒为盗窃网络游戏“传奇世界”账号的木马,病毒运行后,复制病毒文件到系统目录%System32%下,命名为ttNNBNNB1047.exe,并在此目录下衍生病毒文件ttNNBNNB1047.dll;新增注册表项,把ttNNBNNB1047.dll注入到Explorer.exe进程,以达到随机启动的目的;通过截获用户的键盘和鼠标消息获取“传奇世界”的账号和密码,发送给病毒作者指定的URL。

安天反病毒工程师建议
    1.最好安装安天防线,防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年7月25
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 18:28

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表