动物家园计算机安全咨询中心([url]www.kingzoo.com[/url])反病毒斗士报牵手广州市计算机信息网络安全协会([url]www.cinsa.cn[/url])发布:
本周重点关注病毒:
“拆窗蠕虫66576”(Win32.Troj.backdoor.ya.66576) 威胁级别:★★
此病毒的源文件名称是zsmscc071001.exe,潜入用户系统后,它会先瞧瞧自己是否处于%windows%\system32\目录下,如果不是,便将自己复制到该目录下,并建立批处理程序,将原来位置上的文件删除,避免用户发现。
之后,它释放出三个病毒文件,分别是%windows%\system32\目录下的zsmscc071001.dll和zsmscc32.dll,以及%windows%\目录下的zsmscc16.ini,它们各有分工。其中zsmscc16.ini是***的配置文件,记录着***的当前版本号及安装的路径,而zsmscc071001.dll 负责监控及自我保护,zsmscc32.dll 则是***的主要功能,可以实现对外通信和传染等功能。
由于安全软件的保护,病毒无法顺利作案,因此它会首先搜索并强行关闭打开的安全软件窗口,这个过程中,金山、卡巴斯基、瑞星、360安全卫士、江民等厂商的产品将被关闭。同时被关闭的还有其他任何含有杀毒、查毒、启动项管理、进程项管理等类似字样的窗口和系统工具。包含范围非常广。
完成以上步骤后,病毒便利用之前生成的DLL文件在系统中制造后门,接收远程指令。这样一来,其它病毒、***,以及***便可顺利的进入电脑系统,给用户造成更大损失。
“管道隐藏者118784”(Win32.Worm.Downloader.a.118784) 威胁级别:★★
病毒运行后,会在%Windows%目录\下生成svchost.exe,同时在当前所处的目录下生成kfo11.bat文件。然后,利用kfo11.bat将源文件删除,并修改注册表,将自己的文件显示模式设为隐藏,这样一来,用户便不容易发现它了。
值得注意的是,病毒会冒充Windows的网络管理服务,如果查询其属性,看到的显示名为“Windows Network Management”、描述是“为Windows提供网络管理服务。”、而路径为“ %Windows%\svchost.exe”。同时,此病毒会破坏系统更新文件日志,阻止系统更新修补漏洞,给自己争取到更久的潜伏时间。
随后,病毒搜索感染机器的PE文件,获取PE文件信息,并建立管道(pipe)后门,为***远程***提供便利,并打开病毒更新接口。下载的新病毒文件以elf_downloader.pdb的名称保存到f:\source\cg\rubbish\elf_downloader\Releas\目录下。病毒还会利用自己携带的一批简单密码来破解区域内的其他计算机密码,继续感染其他机器。同时,它还会枚举大量的电子邮箱地址,不断的发送含毒邮件,进一步传播病毒。
“ARP下载者155648”(Worm.Downloader.p.155648) 威胁级别:★★
这是一个***下载者,病毒运行后在 %system32%\Com\comrepl32.exe目录与 %system32%\drivers\pcibus.sys目录下释放出病毒文件,并修改注册表,以便随系统自动启动。
该病毒隐蔽性较高,它在%system32%目录下svchost.exe程序的空间内运行病毒程序,隐藏自身。若系统中安装有卡巴斯基,病毒还能将系统时间中的年份修改为2001年,暂时禁用卡巴基斯基,运行完毕后,再将系统时间改回正确的年份。如此一来,用户就更不易发现它的存在。
确定卡巴斯基“瘫痪”后,病毒便在用户无法知晓的情况下连接网络,从网上下载其它病毒,将它们以conime?.exe文件名的形式保存到%Program Files%\目录下,需要注意的是,病毒名称中的“?”为随机生成的0-9数字,或a-z的小写字母。
除了在本机上造成危害,该病毒还会向外发送ARP包,对局域网内的计算机进行ARP***,并通过ARP***传播病毒文件。因此,它在局域网中的危害会更大。
“恐怖鸡感染号”(Win32.LwyMum.h.147456) 威胁级别:★★
病毒运行后,分别在系统盘目录下的%Temporary Internet Files%\Content.IE5(IE缓存)、%Program Files%\Internet Explorer\PLUGINS\、%WINDOWS%\Font、%WINDOWS%\system\、%WINDOWS%\system32\等目录下生成非常多的病毒文件。并在所有磁盘盘中都生成AUTO病毒,分别是:XP.EXE和autorun.inf病毒辅助文件。同时,病毒还修改注册表,这样它以后便可随系统一起启动。完成以上步骤后,病毒自删除源文件,使用户无法找到病毒源。
如果用户双击进入有AUTO病毒的盘符,病毒立即发作,其症状是窗口会发生一次“跳转”。发作的病毒马上开始感染可执行文件,被病毒感染的文件在打开时,其实已经再次激活病毒。这时查看任务管理器便可发现,病毒进程logogogo.exe正在运行,并大量吞噬系统资源,使得系统处于半瘫痪状态。
这种情况下,大部分人一定会重启电脑。可这时系统关闭的速度异常缓慢,而且一直停留在关闭的截面上“正在保存设置......”。当强制重启以后,如果运行刚才被修改感染的可执行文件,会立即在当前目录中生成ani.ani文件。检查一下电脑中的文件,会发现反病毒、安全软件的可执行文件、WINRAR压缩包、MSN等已经全被感染。
该病毒还会在注册表中添加映像劫持项,著名的反病毒软件以及安全辅助工具都会被劫持,如金山毒霸、瑞星、360、卡巴斯基等。浏览器也被感染,任何网站无法打开,用户将无法通过网络向安全软件厂商求援。这样一来,整个电脑系统都将成为该病毒的“领地”。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
本周重点关注病毒:
“拆窗蠕虫66576”(Win32.Troj.backdoor.ya.66576) 威胁级别:★★
此病毒的源文件名称是zsmscc071001.exe,潜入用户系统后,它会先瞧瞧自己是否处于%windows%\system32\目录下,如果不是,便将自己复制到该目录下,并建立批处理程序,将原来位置上的文件删除,避免用户发现。
之后,它释放出三个病毒文件,分别是%windows%\system32\目录下的zsmscc071001.dll和zsmscc32.dll,以及%windows%\目录下的zsmscc16.ini,它们各有分工。其中zsmscc16.ini是***的配置文件,记录着***的当前版本号及安装的路径,而zsmscc071001.dll 负责监控及自我保护,zsmscc32.dll 则是***的主要功能,可以实现对外通信和传染等功能。
由于安全软件的保护,病毒无法顺利作案,因此它会首先搜索并强行关闭打开的安全软件窗口,这个过程中,金山、卡巴斯基、瑞星、360安全卫士、江民等厂商的产品将被关闭。同时被关闭的还有其他任何含有杀毒、查毒、启动项管理、进程项管理等类似字样的窗口和系统工具。包含范围非常广。
完成以上步骤后,病毒便利用之前生成的DLL文件在系统中制造后门,接收远程指令。这样一来,其它病毒、***,以及***便可顺利的进入电脑系统,给用户造成更大损失。
“管道隐藏者118784”(Win32.Worm.Downloader.a.118784) 威胁级别:★★
病毒运行后,会在%Windows%目录\下生成svchost.exe,同时在当前所处的目录下生成kfo11.bat文件。然后,利用kfo11.bat将源文件删除,并修改注册表,将自己的文件显示模式设为隐藏,这样一来,用户便不容易发现它了。
值得注意的是,病毒会冒充Windows的网络管理服务,如果查询其属性,看到的显示名为“Windows Network Management”、描述是“为Windows提供网络管理服务。”、而路径为“ %Windows%\svchost.exe”。同时,此病毒会破坏系统更新文件日志,阻止系统更新修补漏洞,给自己争取到更久的潜伏时间。
随后,病毒搜索感染机器的PE文件,获取PE文件信息,并建立管道(pipe)后门,为***远程***提供便利,并打开病毒更新接口。下载的新病毒文件以elf_downloader.pdb的名称保存到f:\source\cg\rubbish\elf_downloader\Releas\目录下。病毒还会利用自己携带的一批简单密码来破解区域内的其他计算机密码,继续感染其他机器。同时,它还会枚举大量的电子邮箱地址,不断的发送含毒邮件,进一步传播病毒。
“ARP下载者155648”(Worm.Downloader.p.155648) 威胁级别:★★
这是一个***下载者,病毒运行后在 %system32%\Com\comrepl32.exe目录与 %system32%\drivers\pcibus.sys目录下释放出病毒文件,并修改注册表,以便随系统自动启动。
该病毒隐蔽性较高,它在%system32%目录下svchost.exe程序的空间内运行病毒程序,隐藏自身。若系统中安装有卡巴斯基,病毒还能将系统时间中的年份修改为2001年,暂时禁用卡巴基斯基,运行完毕后,再将系统时间改回正确的年份。如此一来,用户就更不易发现它的存在。
确定卡巴斯基“瘫痪”后,病毒便在用户无法知晓的情况下连接网络,从网上下载其它病毒,将它们以conime?.exe文件名的形式保存到%Program Files%\目录下,需要注意的是,病毒名称中的“?”为随机生成的0-9数字,或a-z的小写字母。
除了在本机上造成危害,该病毒还会向外发送ARP包,对局域网内的计算机进行ARP***,并通过ARP***传播病毒文件。因此,它在局域网中的危害会更大。
“恐怖鸡感染号”(Win32.LwyMum.h.147456) 威胁级别:★★
病毒运行后,分别在系统盘目录下的%Temporary Internet Files%\Content.IE5(IE缓存)、%Program Files%\Internet Explorer\PLUGINS\、%WINDOWS%\Font、%WINDOWS%\system\、%WINDOWS%\system32\等目录下生成非常多的病毒文件。并在所有磁盘盘中都生成AUTO病毒,分别是:XP.EXE和autorun.inf病毒辅助文件。同时,病毒还修改注册表,这样它以后便可随系统一起启动。完成以上步骤后,病毒自删除源文件,使用户无法找到病毒源。
如果用户双击进入有AUTO病毒的盘符,病毒立即发作,其症状是窗口会发生一次“跳转”。发作的病毒马上开始感染可执行文件,被病毒感染的文件在打开时,其实已经再次激活病毒。这时查看任务管理器便可发现,病毒进程logogogo.exe正在运行,并大量吞噬系统资源,使得系统处于半瘫痪状态。
这种情况下,大部分人一定会重启电脑。可这时系统关闭的速度异常缓慢,而且一直停留在关闭的截面上“正在保存设置......”。当强制重启以后,如果运行刚才被修改感染的可执行文件,会立即在当前目录中生成ani.ani文件。检查一下电脑中的文件,会发现反病毒、安全软件的可执行文件、WINRAR压缩包、MSN等已经全被感染。
该病毒还会在注册表中添加映像劫持项,著名的反病毒软件以及安全辅助工具都会被劫持,如金山毒霸、瑞星、360、卡巴斯基等。浏览器也被感染,任何网站无法打开,用户将无法通过网络向安全软件厂商求援。这样一来,整个电脑系统都将成为该病毒的“领地”。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
京公网安备 11010802041100号