| 一、今日高危病毒简介及中毒现象描述:
“系统杀手”变种pi是“系统杀手”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“系统杀手”变种pi运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“Hies.dll”(文件属性为“隐藏”),该DLL文件可能会自我复制并重新命名为“zlhk.dll”。“系统杀手”变种pi会篡改系统注册表,以此关闭某些安全软件的监控,从而进一步地增加了被感染系统的风险。其释放的恶意DLL组件会通过“svchost.exe”以系统服务的方式运行,运行后会不断尝试与控制端(IP地址为:211.56.213.*:80)进行连接。一旦连接成功,则被感染的计算机就会沦为骇客的傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作(操作包括但不限于文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等),会给用户的个人隐私甚至是商业机密造成不同程度的损失。同时,骇客还可以向傀儡主机发送大量的恶意程序,这样会对用户构成更加严重的威胁。另外,“系统杀手”变种pi会通过修改系统服务“HidServ”和“BITS”所调用文件的方式实现木马的开机自启。
“键盘终结者”变种aoz是“键盘终结者”间谍木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“键盘终结者”变种aoz运行后,会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放恶意程序“msnmsgss.exe”。在后台连接骇客指定的远程服务器站点“http://125.70.*.147:51234”,将在被感染计算机中搜集到的一些信息反馈至该服务器,同时会在被感染系统的后台秘密监视用户的键盘操作,将用户的键击、窗口标题、时间等信息记录到临时文件中,并在后台将窃取到的信息上传到骇客指定的站点,从而对被感染计算机用户构成了侵害。
“恶意关机程序”(win32.troj.servepeoplet.no.228864),此毒是一个可关闭计算机的恶意程序,它是某款木马的组成部分。它会释放出一些病毒文件,然后强行关机,当用户重启电脑时,这些病毒文件就会被加载运行。这个“恶意关机程序”(win32.troj.servepeoplet.no.228864)在昨日达到18万台次的感染量,位居感染量排行第三,将狂风下载器挤到了第四名。经毒霸反病毒工程师分析,此毒是一个木马程序的组成部分。它包含有多个病毒子文件,当释放出这些文件后,它就强行关闭计算机,逼迫用户重启。绝大部分用户肯定想不到这是病毒作怪,而以为是自己的电源问题,那么就会直接重启电脑。而这时,那些病毒子文件就可以随着系统重启而自动加载,从而实现运行。
“宝马下载器变种”(win32.trojdownloader.bmwat.ex.117184),这是宝马下载器的一个变种。该变种会下载大量的网游盗号木马和广告插件到用户电脑中运行。同时它还会下载其它的木马下载器。在进入6月后,“宝马下载器变种”(win32.trojdownloader.bmwat.ex.117184)的感染量急剧下降,目前已由月初的41万台次降至14万,但是,该毒不时出现的“小幅上扬”,却让我们始终不敢掉以轻心。此毒的行为是下载大量的其它木马,目前它所下载的主要是广告和远控程序,盗号木马所占比例则越来越小。同时,我们在它的下载名单中,也依旧发现了第三方下载器。由于它最根本的入侵途径仍是网页挂马,我们继续推荐用户安装“网盾”,抵御挂马攻击,只要将病毒进入电脑的渠道封住,那么它们自然也就相对的不具备威胁了。
二、针对以上病毒,比特网安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。 |
