江民今日提醒您注意:在今天的病毒中TrojanDropper.Agent.aaxa"代理木马"变种aaxa和Exploit.SqlShell.o"SQL幽灵"变种o值得关注。
英文名称:TrojanDropper.Agent.aaxa
中文名称:"代理木马"变种aaxa
病毒长度:23552字节
病毒类型:木马释放器
危险级别:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:35db985e312f22cc6ead0a4a5f2d0a2d
特征描述:
TrojanDropper.Agent.aaxa"代理木马"变种aaxa是"代理木马"木马释放器家族中的最新成员之一,采用"Microsoft Visual C++ 6.0"编写,并且经过加壳保护处理。"代理木马"变种aaxa运行后,会自我复制到被感染计算机系统的"%SystemRoot%system32dllcache"文件夹下,重新命名为"systembox.bak"。在"%SystemRoot%system32"文件夹下释放经过加壳保护的恶意DLL组件"*.dll"(文件名从netsvcs服务组中依次取得,一般从"6to4"开始),同时将其复制到"%SystemRoot%system32dllcache"文件夹下。另外,还会在"%SystemRoot%system32drivers"文件夹下释放恶意驱动程序"WmiSvc.sys",用以结束各类安全软件的自我保护。结束大量安全软件的进程,同时利用注册表映像文件劫持功能,干扰这些安全软件的正常运行。"代理木马"变种aaxa释放的DLL文件在运行后,会下载其它各类木马或者连接指定的挂马页面,从而给用户造成不同程度的损失。"代理木马"变种aaxa还可通过移动存储设备及网上邻居进行传播,其会自我复制为"[盘符]:
ecycle.{645FF040-5081-101B-9F08-00AA002F954E}Ghost.exe"并生成"autorun.inf"文件,从而利用系统的自动播放功能激活自我。通过自带的密码表对存在弱口令的网上邻居进行连接,一旦连接成功便会复制自身到该计算机的"C:"下,重新命名为"bootfont.exe",并且利用计划任务功能将其激活。另外,"代理木马"变种aaxa会对部分扩展名为".exe"、".asp"、".htm"、".html"、".aspx"及".RAR"文件进行感染,从而给用户造成更多的风险。"代理木马"变种aaxa会在被感染计算机中注册为系统服务,以此实现开机自启。
英文名称:Exploit.SqlShell.o
中文名称:"SQL幽灵"变种o
病毒长度:227328字节
病毒类型:漏洞病毒
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:750e784163ea09d7889b4e1110b985e2
特征描述:
Exploit.SqlShell.o"SQL幽灵"变种o是"SQL幽灵"漏洞病毒家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件,经过加壳保护处理。"SQL幽灵"变种o运行时,会在被感染系统的"%SystemRoot%system32"目录下释放经过加壳保护的恶意DLL组件"dwinter.dll"和"dwintel.dll"。"SQL幽灵"变种o会针对"Microsoft SQL Server 2003"或其它版本的已知漏洞进行攻击,其会搜索当前网段内存在的数据库服务,并对使用了弱口令、采用混合验证模式登陆的数据库服务进行连接。骇客会发送特定的查询使得之前释放的DLL文件被调用,一旦调用成功,"SQL幽灵"变种o可能会通过FTP等方式下载其它的恶意程序,或者在服务器上执行任意代码,从而对被感染系统的用户造成不同程度的侵害。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的"花指令壳"、"生僻壳"病毒进行脱壳扫描,有效清除"壳病毒"。
4、开启江民杀毒软件的系统监控功能,该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理,有效地遏制了未知病毒对系统所造成的干扰和破坏,更大程度的提高了计算机对于未知病毒的防范能力。
5、江民防马墙,能够第一时间发现和阻止带有木马病毒的恶意网页,可以自动搜集恶意网址并加入特征库,阻止了网页木马的传播,有效地保障了用户的上网安全。
6、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
7、江民杀毒软件新增强大的启发式扫描,能够启发扫描90%以上的未知病毒。
8、尽量不要以双击盘符的方式访问硬盘或移动存储设备的分区,而是通过资源管理器中左侧的"树形目录"或在地址栏中输入盘符的方式进行访问,从而避免计算机病毒利用系统自动运行特性进行感染和传播。
9、江民针对感染Delphi编译环境和应用程序的"Delphi侵蚀者"病毒推出了专杀工具,请广大Delphi开发人员和网民立即下载并对系统进行扫描,从而避免成为病毒传播的源头以及被该病毒所感染。下载地址:http://filedown.jiangmin.com/download/JMInducKiller.exe
10、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://online.jiangmin.com/
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站http://www.jiangmin.com进行在线查阅。
