安全在线7月9日报道 病毒中"罗卡特"变种j、"地穴"变种iy、"下载者qs" 和"QQ大盗cdw" 都值得关注。
一、明日高危病毒简介及中毒现象描述:
"罗卡特"变种j是"罗卡特"蠕虫家族的最新成员之一,采用Delphi语言编写,并经过加壳保护处理。"罗卡特"变种j运行后,自我复制到被感染计算机系统的"%SystemRoot%"目录下,重命名为"avgsh.exe"。修改注册表,实现蠕虫开机自动运行。在被感染计算机后台秘密搜索有效的邮箱地址(包括MSN联系人中的邮箱地址、*.dbx和*.eml等文件中保存的邮箱地址),利用被感染计算机群发带毒邮件。带毒邮件中包含多个恶意程序的下载地址,一旦收信人不慎下载并运行了地址中的恶意程序,收信人的计算机就很有可能感染木马等。另外,"罗卡特"变种j还会在后台连接骇客指定站点,下载大量恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。
"地穴"变种iy是"地穴"木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。"地穴"变种iy运行后,在被感染计算机系统的"%SystemRoot%system32"目录下释放病毒文件"braviax.exe"。修改注册表,实现木马开机自动运行。在指定目录下释放恶意驱动程序"figaro.sys",并用其替换系统文件"beep.sys"。将恶意代码注入到所有进程中运行,隐藏自我,防止被查杀。查找并强行关闭常见的安全软件,大大降低了被感染计算机的安全性。弹出"发现恶意软件"的虚假信息,诱导用户点击下载,用户一旦点击便会连接骇客指定站点,下载更多的恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。另外,"地穴"变种iy还可能在被感染计算机后台搜索用户的私密信息并发送给骇客,严重威胁用户的隐私信息安全。
"下载者qs" 该病毒为蠕虫类,病毒运行后,在%Systme32%下衍生病毒文件atielf.dat;当用户连接Internet时,将读取atielf.dat进而获取病毒列表文件update.txt中的URL,从而下载并读取其信息下载病毒文件在本机运行;通过给当前系统内执行的进程拍快照,来判断是否存在AVP.exe进程,存在便通过API函数"SetSystemTime"修改系统时间为2001年,月、日不变,以使卡巴斯基过期失效。新增注册表项,映像劫持多款安全软件,以降低系统的安全性;调用svchost.exe进程加载病毒服务;此病毒完全执行自身代码后,会结束自身进程、删除自身,病毒还会随机启动。
"QQ大盗cdw" 该病毒为盗窃QQ账号的木马,病毒运行后,复制自身到%Program Files%Internet ExplorerPLUGINS目录下,并重命名为UnixSys32.Jmp,并在该目录下衍生含有隐藏属性的病毒文件UnixSys08.Sys;新建注册表项,创建CLSID值,添加HOOK项,以达到当系统启动的时候利用Explorer.exe进程加载UnixSys08.Sys;浏览器劫持,添加注册表BHO项,用来当IE运行时加载UnixSys08.Sys;并试图通过全局挂钩把UnixSys08.Sys注入到所有进程中,通过截获当前用户的键盘和鼠标消息以获取QQ的账号及密码,发送到病毒作者指定的URL;该病毒在实现完自身代码后,会结束自身进程。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、安天的病毒库均已更新,并能查杀上述病毒。感谢江民科技、安天为51CTO安全频道提供病毒信息。
