中新網(wǎng)5月9日電 在周日的病毒中Worm/Downloader.eg“桌面幽靈”變種eg和Trojan/PSW.Ganhame.b“甘哈拇”變種b值得關(guān)注。
病毒名稱:Worm/Downloader.eg
中 文 名:“桌面幽靈”變種eg
病毒長度:26868字節(jié)
病毒類型:蠕蟲
危險(xiǎn)級別:★★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
Worm/Downloader.eg“桌面幽靈”變種eg是“桌面幽靈”蠕蟲家族的最新成員之一,采用Visual C++ 6.0編寫,并經(jīng)過加殼處理。“桌面幽靈”變種eg運(yùn)行后,自動(dòng)檢測自身進(jìn)程是否被其它調(diào)試軟件所調(diào)試分析,一旦發(fā)現(xiàn)便自動(dòng)關(guān)閉退出。強(qiáng)行將系統(tǒng)時(shí)間設(shè)置為2001年,導(dǎo)致某些安全軟件殺毒和保護(hù)功能失效。在被感染計(jì)算機(jī)的后臺(tái)以掛起的方式調(diào)用系統(tǒng)“svchost.exe”進(jìn)程,并將惡意代碼注入到其中,實(shí)現(xiàn)反安全軟件的功能,然后進(jìn)行惡意操作。該惡意代碼為“系統(tǒng)殺手”變種a!跋到y(tǒng)殺手”變種a在被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\system32\”目錄下創(chuàng)建病毒配置文件。在臨時(shí)文件夾下釋放3個(gè)帶有“wxp2ins”字樣的惡意驅(qū)動(dòng)文件,文件名隨機(jī)生成,并將文件屬性設(shè)置為隱藏。第1個(gè)驅(qū)動(dòng)文件可還原系統(tǒng)“SSDT HOOK”,致使某些安全軟件的防御和監(jiān)控功能失效,從而達(dá)到躲避監(jiān)控的目的;第2個(gè)和第3個(gè)驅(qū)動(dòng)文件均可覆蓋破壞系統(tǒng)桌面程序“explorer.exe”,把惡意可執(zhí)行代碼寫入到系統(tǒng)桌面程序中,具有繞過“還原保護(hù)系統(tǒng)”,覆蓋破壞被感染計(jì)算機(jī)真實(shí)磁盤中系統(tǒng)文件的功能,使用戶防不勝防。遍歷當(dāng)前計(jì)算機(jī)系統(tǒng)中的進(jìn)程列表,一旦發(fā)現(xiàn)與安全相關(guān)的進(jìn)程,強(qiáng)行將其關(guān)閉。在被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\system32\”目錄下創(chuàng)建批處理文件并調(diào)用運(yùn)行,利用該批處理程序去關(guān)閉“系統(tǒng)防火墻”。修改注冊表,利用進(jìn)程映像劫持功能禁止指定的安全軟件運(yùn)行。另外,“系統(tǒng)殺手”變種a不僅具有自升級的功能,而且具有自動(dòng)網(wǎng)頁掛馬的功能。 “桌面幽靈”變種eg會(huì)在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)連接駭客指定站點(diǎn),下載包括“系統(tǒng)殺手”、“ARP殺手”、“代理木馬”、“機(jī)器狗”等大量木馬病毒到用戶計(jì)算機(jī)中安裝運(yùn)行,給用戶帶來極大的損失。“桌面幽靈”變種eg還會(huì)在任務(wù)執(zhí)行完畢后,會(huì)馬上關(guān)閉退出。在退出時(shí),被注入惡意代碼的系統(tǒng)“svchost.exe”進(jìn)程會(huì)刪除掉病毒所在磁盤中的文件,使用戶無法尋找到該病毒樣本。
病毒名稱:Trojan/PSW.Ganhame.b
中 文 名:“甘哈拇”變種b
病毒長度:189440字節(jié)
病毒類型:木馬
危險(xiǎn)級別:★★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Ganhame.b“甘哈拇”變種b是“甘哈拇”木馬家族的最新成員之一,采用Delphi語言編寫!案使础弊兎Nb運(yùn)行后,在“%SystemRoot%\system32\”目錄下釋放惡意驅(qū)動(dòng)程序并加載運(yùn)行,破壞部分安全軟件的監(jiān)控功能,大大降低被感染計(jì)算機(jī)的安全性。在“%SystemRoot%\system32\drivers\”目錄下釋放病毒組件并插入到所有用戶的進(jìn)程中,隱藏自身、防止被查殺。修改注冊表,實(shí)現(xiàn)木馬開機(jī)自動(dòng)運(yùn)行。在后臺(tái)秘密監(jiān)視正在運(yùn)行的進(jìn)程,一旦發(fā)現(xiàn)網(wǎng)絡(luò)游戲《地下城與勇士》客戶端程序正在運(yùn)行,“甘哈拇”變種b可能用自帶的圖片偽造登錄窗口,誘導(dǎo)玩家輸入游戲帳號、游戲密碼,從而竊取《地下城與勇士》游戲玩家的游戲帳號、游戲密碼、倉庫密碼、角色等級等信息,并在后臺(tái)將玩家信息發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器上,致使玩家的游戲帳號、裝備物品、金錢等丟失,給游戲玩家?guī)矸浅4蟮膿p失。
針對以上病毒,江民反病毒中心建議廣大電腦用戶:
立即升級江民殺毒軟件等防病毒程序并進(jìn)行全面殺毒,開啟各項(xiàng)監(jiān)控,對于網(wǎng)上銀行、支付平臺(tái)、網(wǎng)上證券交易、網(wǎng)絡(luò)游戲等賬號密碼等,要妥善保管,盡量不在有可能存在安全隱患的電腦上使用。
請 您 評 論 查看評論 進(jìn)入社區(qū)
本評論觀點(diǎn)只代表網(wǎng)友個(gè)人觀點(diǎn),不代表中國新聞網(wǎng)立場。
|
圖片報(bào)道 | 更多>> |
|