安全在线报道 江民7月2日病毒播报:"袜子虫"利用ROOTKIT技术挂接操作系统操作系统
江民今日提醒您注意:在今天的病毒中Trojan/Soul.t"灵木马"变种t和Worm/Socks.d"袜子虫"变种d值得关注。
病毒名称:Trojan/Soul.t
中 文 名:"灵木马"变种t
病毒长度:85504字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Soul.t"灵木马"变种t是"灵木马"木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。"灵木马"变种t运行后,自我复制到被感染计算机的"%SystemRoot%system32"目录下,重命名为"110.exe",并在相同目录下释放病毒组件"Soul.dll"。自我注册为系统服务,实现木马开机自动运行。将恶意代码恶意代码恶意代码恶意代码注入到系统进程中加载运行,隐藏自我,躲避某些杀毒软件的查杀以及防火墙的拦截。秘密连接骇客指定站点,骇客可通过"灵木马"变种t远程完全控制被感染的计算机,进行的恶意操作包括:文件操作、进程操作、注册表操作、服务操作、屏幕监控,键盘记录、命令操作等,给用户的个人隐私,甚至商业机密造成严重威胁。
病毒名称:Worm/Socks.d
中 文 名:"袜子虫"变种d
病毒长度:172032字节
病毒类型:蠕虫蠕虫蠕虫蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/Socks.d"袜子虫"变种d是"袜子虫"蠕虫家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。"袜子虫"变种d运行后,在被感染计算机系统的"%SystemRoot%system32drivers"目录下释放一个恶意的驱动程序文件"qandr.sys"。将"qandr.sys"注册为系统服务,实现蠕虫开机自动运行。利用Rootkit技术,采用"SSDT HOOK"技术挂接了系统中的"NtEnumerateKey"和"NtOpenKey"API函数,采用"FSD inline HOOK"技术挂接了系统文件过滤驱动中的"IRP_MJ_DIRECTORY_CONTROL"请求,隐藏自我,防止被查杀。一旦用户计算机感染该病毒则很难清除干净。"袜子虫"变种d可能是一个驱动级的后门程序,会给被感染计算机用户带来潜在的危险,同时会带去不同程度的损失。另外,"袜子虫"变种d会在系统临时文件夹下创建一个批处理程序文件,当恶意驱动程序文件"qandr.sys"安装完毕后调用这个批处理程序实现自我删除。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
4、江民杀毒软件的虚拟机脱壳技术,针对目前主流壳病毒进行虚拟脱壳处理,有效清除"壳病毒"。
5、江民杀毒软件可以在系统崩溃无法进入的情况下,一键恢复系统,无论是恶性病毒破坏或电脑用户误删除系统文件,都可轻松还原系统到无毒状态或正常状态。
6、"江民密保"可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码,全面保护用户私密信息。
7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://online.jiangmin.com/chadu.asp.
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站http://www.jiangmin.com/进行在线查阅。
瑞星7月2日反病毒及木马播报
据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它是:"灰鸽子变种BNL(Backdoor.Win32.Gpigeon2007.bnl)"病毒。该病毒通过网络传播,病毒会偷窃用户隐私信息,还可能远程控制用户计算机,给用户计算机安全带来极大危害。
本日热门病毒:
"灰鸽子变种BNL(Backdoor.Win32.Gpigeon2007. bnl)"病毒:警惕程度★★★,后门病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
该病毒运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过在后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。如此用户计算机将被远程控制,不自主地删除文件,远程下载上传文件,修改注册表等等,给用户的计算机和隐私安全带来很大隐患。
反病毒专家建议电脑用户采取以下措施预防该病毒:1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次;2、使用"瑞星系统安全漏洞扫描",打好补丁,弥补系统漏洞;3、不浏览不良网站,不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到"瑞星帐号保险柜"中,可以有效保护密码安全;7、登陆http://tool.ikaka.com/下载并安装免费的瑞星卡卡5.2,打开防护中心开启全部防护,防止病毒通过IE漏洞等侵入计算机。
如遇病毒,请拨打反病毒急救电话:82678800。能够上网的用户可以访问瑞星反病毒资讯网:http://www.rising.com.cn/或登录http://help.rising.com.cn/使用在线专家门诊进行免费咨询。
金山毒霸每日病毒预警
"链接库蛀虫8192"(Win32.Patched.af.8192),这是一个感染型的蠕虫病毒文件。它会修改系统中的一些关键函数,导致系统运行出现错乱。
"网银黑客盗号器61440"(Win32.Hack.Agent.61440),这是一个黑客盗号程序。该病毒运行后会替换掉系统桌面文件explore.exe和beep.sys文件。被感染的计算机如果访问银行的网站,就会被该病毒记录下用户输入的数据,导致网银帐号丢失。
一、"链接库蛀虫8192"(Win32.Patched.af.8192) 威胁级别:★★
这个病毒对系统有着很明显的破坏能力,如果该毒进入了用户的电脑,将可能导致系统运行出错。
病毒通过感染exe文件实现传播。它把自己加到正常文件的开头。如果用户将被感染文件复制到新电脑上并运行,病毒就会释放出自己的文件7nmt3w40.exe到%windows%system32目录中,同时释放出被它感染的正常文件运行。
但是,一旦病毒文件被释放,它就会搜索WINDOWS系统中的kernel32.dll文件,强行修改其中的一些函数。这个kernel32.dll是系统的动态链接库文件,负责内存管理、输入输出以及中断等工作。病毒对它进行修改后,将导致系统运行出错,给用户的正常工作造成不便。
二、"网银黑客盗号器61440"(Win32.Hack.Agent.61440) 威胁级别:★★
这个病毒在对抗安全软件方面下了些功夫,目的是盗窃用户的网银帐号。
病毒进入系统后,释放出四个病毒文件,分别是%WINDOWS%system32目录下的explore.exe、%Windows%目录下的ponto.DLL和1.exe,以及%WINDOWS%system32drivers目录下的beep.sys。
这里需提及的是,explore.exe与beep.sys在系统中本身就存在。前者是系统桌面文件,用自己的文件将其替换,能够便于病毒监视各种进程;后者则为系统用于提供控制系统发音,替换掉它,可以降低用户获知系统异常的机会。从而让病毒能够躲避查杀。
完成以上工作,病毒就修改注册表,把主文件1.exe加进启动项,实现开机自启动。并记录下用户通过IE浏览器浏览器上网时输入的类似银行帐号和密码的数据,然后悄悄连接病毒作者指定的地址http://www.silvana****.kit.net/,将记录到的数据发送出去。造成用户的帐号泄露,遭受财产损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。