小心“流量突击兵cub” 谨防“牧童”变种f

安全在线7月9日报道 病毒提醒:今日病毒中"焦点间谍"变种es、"牧童"变种fj、 "下载者木马xwr"和"流量突击兵cub"都值得关注。

一、今日高危病毒简介及中毒现象描述:

"焦点间谍"变种es是"焦点间谍"木马家族的最新成员之一,采用Delphi编写,由其它木马释放出来的木马功能组件,一般被注入到"IEXPLORE.EXE"进程中加载运行,隐藏自我,防止被查杀。"焦点间谍"变种es运行后,强行篡改被感染计算机上的系统时间,致使某些安全软件失效。在被感染的计算机上搜索与安全相关的软件,一旦发现便强行将其关闭,大大降低了被感染计算机上的安全性。在后台连接骇客指定的服务器站点,下载恶意程序并在被感染计算机上自动调用运行,给用户带来极大的的危害。另外,"焦点间谍"变种es还会在各个盘符根目录下创建"autorun.inf"文件和木马程序文件"auto.exe",达到双击盘符启动"焦点间谍"变种es运行的目的。

"牧童"变种fj是"牧童"木马家族的最新成员之一,采用高级语言编写。"牧童"变种fj运行后,在被感染计算机系统的"%SystemRoot%system32"目录下释放病毒组件,文件名由随机六位小写字母组成。将释放的病毒组件注册为系统服务,实现木马开机自动运行。将病毒代码注入"svchost.exe"进程中运行,隐藏自我,躲避安全软件的查杀。与骇客指定的服务器建立网络连接,骇客可通过"牧童"变种fj远程完全控制用户计算机,进行的恶意操作包括:文件操作、进程操作、注册表操作、服务操作、屏幕监控,键盘记录、摄像头抓图、命令操作等,给用户的个人隐私,甚至商业机密造成严重威胁。

"下载者木马xwr"该病毒为下载类木马,病毒运行后,衍生病毒文件DesktopWin.dll到%Windir%AppPatch下;新增注册表项,创建CLSID值,添加启动项,在ShellServiceObjectDelayLoad键下添加DesktopWin键值,当系统启动时利用Explorer.exe进程自动加载病毒组件,并查找此键下是否存在JavaView键值,若存在,便删除;以命令行方式调用rundll32.exe,由rundll32.exe创建%Windir%AppPatchAclLayer.dll文件;当该病毒执行完自身代码后,会结束自身进程,在%System32%下衍生unxxx.bat,目的是为了删除该病毒文件和自身;连接网络,下载大量病毒文件并在本机运行。

"流量突击兵cub" 该病毒属于刷流量类木马,病毒运行后,判断当前程序的文件名和路径是否为%System32%XP-C300C3AC.EXE,如果不是该路径和文件名,将调用资源管理器打开当前目录下和自己同名的文件夹;若文件夹不存在将弹出无法找到文件夹的错误提示,复制自身到%System32%目录下,并衍生病毒配置文件以及易语言运行所需要的库文件;修改注册表添加启动项,使病毒文件随系统启动而运行;连接网络访问指定站点,为被访问的网站刷流量;被感染计算机接入移动磁盘后,病毒进程将遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到移动磁盘传染病毒的目的;病毒运行完毕后删除自身。

被刷网站(http://hi.baidu.com/******oyou)约以每秒10次访问量的速度刷新,其中一篇帖子的访问量高达500,000以上,对网络的正常有比较严重的影响

二、针对以上病毒,51CTO安全频道建议广大用户:

1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。

3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。

截至记者发稿时止,江民、安天的病毒库均已更新,并能查杀上述病毒。感谢江民科技和安天为51CTO安全频道提供病毒信息。