以下是2008年8月25日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
===========================================================================================================================================
安天实验室每日病毒预警
一、“哈马斯bxg”(Trojan-Spy.Win32.Pophot.bxg) 威胁级别:★★★★
该病毒为木马。病毒运行后首先获取病毒体存放路径,路径获取成功后衍生病毒进程文件,调用内存中运行动态链接库的系统进程;创建病毒配置文件,运用系统API函数对配置文件进行逐条写入信息,记录病毒运行及更新后情况;再次利用系统特定API函数对病毒体的系统权限进行提升,然后遍历系统进程查找字符串如发现有卡巴斯基、瑞星卡卡上网助手、江民、360的进程就进行关闭;复制本体到系统目录下,并将复制的本体再次复制重新命名以scr格式存放;衍生动态连接库文件,由病毒的进程进行加载监视以上的反病毒软件行为,模仿Button按钮操作,加载系统Shell相关应用程序接口动态链接库文件,后台开启Iexplorer.exe进程进行连接网络;修改注册表添加病毒启动项;病毒最后在系统根目录下创建批处理文件用以删除病毒本身文件。
二、“U盘寄生虫djf”(Worm.Win32.AutoRun.djf) 威胁级别:★★★★
该病毒属蠕虫类,病毒图标为gif格式文件图标。病毒运行后,复制自身到各个驱动器根目录下,更名为Mourn_Operator1`1.exe并衍生配置文件autorun.inf,使病毒在用户双击打开盘符时,运行病毒;复制自身到系统盘根目录下,作为文件备份,复制自身到%Windir%下,替换explorer.exe文件,复制原文件到%Program Files%\Internet Explorer目录后将原路径下的正常文件名后加随机数字;修改注册表,注册新的文件类型,修改bmp、jpe、jpeg、jpg、gif文件的文件关联,将其与新注册的文件方式相关联;病毒运行完毕后删除自身。
安天反病毒工程师建议
1.最好安装安天防线2008防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线2008到2008年8月25日的病毒库即可查杀以上病毒;如未安装安天防线2008,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
=========================================================================================================================================== |
|