为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

1月14日病毒预警:木马疯狂猎取帐号

2009-1-14 09:46| 投稿: blue

摘要:   比特网安全频道今日提醒您注意:在今日的病毒中“驻邮虫”变种az、“通犯”变种k、“下载者”、 “偷取者”和“灰鸽子变种CQN”都值得关注。  “驻邮虫”变种az是“驻邮虫”蠕虫家族中的最新成员之一...
  比特网安全频道今日提醒您注意:在今日的病毒中“驻邮虫”变种az、“通犯”变种k、“下载者”、 “偷取者”和“灰鸽子变种CQN”都值得关注。  “驻邮虫”变种az是“驻邮虫”蠕虫家族中的最新成员之一,采用高级语言编写。“驻邮虫”变种az运行后,会自我复制到被感染计算机系统的“%SystemRoot%\”目录下,重新命名为“services.exe”。关闭Windows安全中心和Windows防火墙服务,通过强行篡改注册表相关键值的方式将上述服务设为“禁用”,并将蠕虫自身添加到防火墙允许的程序列表中。释放并重新组合恶意代码到指定内存区域,从而实现隐蔽运行,防止被轻易地发现和查杀。该恶意代码执行后,会在被感染计算机系统后台秘密连接骇客指定的服务器URL“http://*.51.*.137/spm/s_alive.php?id=&tick=&ver=&smtp=ok”,读取加密地址,获取配置文件,其中存有大量随机的邮箱地址。在被感染计算机上搜索有效的邮箱账户,并通过搜索到的账户向随机的邮箱地址发送大量的带毒邮件,从而实现了利用邮件进行自我传播。同时,“驻邮虫”变种az在运行时会通过批处理文件不断地调用自身,这将导致“驻邮虫”变种az的进程被不断地创建,大大地消耗了系统资源,严重地影响了计算机用户对系统的正常操作与使用。“驻邮虫”变种az所释放的恶意代码在某些情况下还可能会生成病毒文件“mpcsvc.exe”,并通过创建注册表启动项来达到其开机的自动运行。另外,“驻邮虫”变种az会通过在系统注册表启动项中添加键值的方式来实现开机自启。  “通犯”变种k是“通犯”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理,将自身图标伪装成“Windows Media Player”图标,诱骗用户点击运行。“通犯”变种k运行后,会强行篡改IE浏览器主页为“http://www.bi**mu.cn”,同时禁用“Internet 选项”功能,禁止用户修改IE首页设置。在桌面生成指向“http://www.ji***13.cn”和“http://www.**465.cn”的IE快捷方式,诱导用户进行点击,提升了这两个网站的访问量。同时还会在后台自动下载大量程序,未经用户同意便安装到计算机中,从而侵犯了被感染计算机用户的个人合法权益,为骇客谋取了非法利益。同时,这些程序还会通过弹出广告等方式干扰用户对计算机系统的正常使用,大大地侵占了系统资源,给用户造成了更多不同程度的影响。另外,“通犯”变种k还会尝试结束部分安全软件的进程,并连接骇客指定站点“http://www.59**dd.cn/”,进行木马的自升级和下载其它恶意程序并调用运行,从而导致被感染计算机用户遭受账号失窃、远程控制等不同类型的安全威胁。  “下载者”(Trojan/Win32.Agent.xqr[Dropper])该病毒为木马类病毒,病毒运行后,查找%Systme32%目录下的lsystipl64.dll(随机病毒名)c.ico、m.ico、s.ico文件将其删除,创建regsvr32.exe进程加载病毒DLL文件,添加注册表启动项,创建VIP Casinov.url、Cheap Pharmacy Onlinev.url、Search Onlinev.url快捷方式文件到桌面,设置URL地址,url快捷方式文件的图标分别设置为指定的%Systme32%下的c.ico、m.ico、s.ico图标文件,将VIP Casinov.url、Cheap Pharmacy Onlinev.url、Search Onlinev.url快捷方式文件添加到收藏夹内,将病毒文件lsystipl64.dll注入到Explorer.exe进程中,调用函数连接网络打开一个网址并下载病毒文件保存到%Systme32%目录下,重命名为:userinit.exe,病毒DLL文件主要行为:当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载,当用户选择“是”则会连接网络下载文件,当用户选择“否”则会弹出一个网页模拟本地磁盘,显示存在的威胁数量并提示用户是否下载扫描器,严重影响用户对本地磁盘的正常浏览。  “偷取者”(Trojan.Win32.Monderb.adnx)该病毒为盗取网络游戏账号信息木马。该病毒运行后调用API函数GetSystemDirectoryA查找系统目录,找到后释放病毒文件到%System32%下,修改注册表项,注册CLSID值,添加HOOK项,并把病毒释放的病毒文件注入到Explorer.exe中,以达到随机启动的目的。  “灰鸽子变种CQN(Backdoor.Win32.Gpigeon2007.cqn)”该病毒运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过在后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。如此用户计算机将被远程控制,不自主地删除文件,远程下载上传文件,修改注册表等等,给用户的计算机和隐私安全带来很大隐患。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部