|
| 每日病毒预警 |
| 作者 开开 查看 195 发表时间 2008/10/27 15:36 【论坛浏览】 |
|
omgjpmm 一、“ecard变种”(Trojan-Spy.Win32.Goldun.bce) 威胁级别:★★★★omgjpmm 该病毒为ecard病毒变种,病毒运行后添加注册表启动项,衍生病毒文件gzipmod.dll、vbagz.sys到%System32%目录下,该病毒调用系统进程rundll32.exe,并将gzipmod.dll、vbagz.sys以句柄的形式注入其中,添加注册表躲避系统自带防火墙,创建病毒注册表服务,病毒运行之后删除自身文件,创造了互斥体防止病毒多次运行,病毒驱动通过 nt!ObReferenceObjectByName 打开磁盘驱动 DriverDisk,并遍历该驱动创建的所有设备对象,该驱动记录这些设备对象的地址用来隐藏病毒衍生的文件,检测路由器支持的路由协议功能、保护该病毒衍生的文件不被查找、发现,连接网络隐藏打开地址,收集有关的电子邮件信息。omgjpmm omgjpmm 二、“U盘寄生虫”(Worm.Win32.AutoRun.bem) 威胁级别:★★★★★omgjpmm 该病毒为蠕虫类,病毒运行后复制自身到系统目录,衍生病毒文件,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。添加映像劫持项,劫持众多计算机安全相关软件。感染非系统盘符下的大部分exe文件,感染方式是在文件尾部加一个.ani节,将病毒信息写入其中,入口点改为病毒运行入口点等。连接网络下载病毒文件并回传收集到的计算机MAC、系统版本等信息。omgjpmm omgjpmm 安天反病毒工程师建议omgjpmm 1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。omgjpmm 2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年10月27日的病毒库即可查杀以上病毒omgjpmm omgjpmm [ 本帖最后由 开开 于 2008-10-28 13:42 编辑 ]omgjpmm omgjpmm 2008年10月28日病毒预警omgjpmm 一、“辅佐bhp”(Trojan-Dropper.Win32.Small.bhp) 威胁级别:★★★★omgjpmm 该病毒属木马类程序,病毒运行后,复制自身到%System32%目录下,更名为sechost.exe,并在该目录下衍生cifmon.exe、discard.ini、kavshell.sys、ssdt.sys、sechos.texe;修改注册表, 使userinit.exe和sechost.exe一起启动,%System32%\sechost.exe添加到卡巴斯基杀病毒软件的信任区域,加载驱动kavshell.sys 、ssdt.sys窃取计算机密码和个人信息,病毒运行完后删除自身。omgjpmm omgjpmm omgjpmm 二、“盗窃者变种aprb”(Trojan-PSW.Win32.OnLineGames.aprb) 威胁级别:★★★omgjpmm 该病毒为盗窃网络游戏“彩虹岛”账号的木马。病毒运行后,复制自身、衍生含有隐藏属性的病毒文件bndfxdh.cfg、bndfxdh.dll、ghjsw.dll、zxdtye.dll到%WinDir%下,其中bndfxdh.dll、ghjsw.dll、zxdtye.dll的修改时间被设置为系统初装日期。添加启动项,以达到当任意用户启动系统时运行该病毒文件。病毒试图通过全局挂钩把bndfxdh.dll注入到所有进程中,通过给当前系统内执行的进程拍快照,然后遍历快照中记录的进程列表,来判断是否存在AVP.exe进程,存在便修改系统时间为2003年,月、日不变,以使卡巴斯基过期失效;如果发现LaTaleClient.exe进程,便结束其进程,当用户再次登陆时,通过读取server.dat来获得用户所在服务器相关信息,通过截获当前用户的键盘和鼠标消息以获取网络游戏“彩虹岛”的账号及密码,发送到病毒作者指定的URL。该病毒在实现完自身代码后,便会结束自身进程,删除自身文件。omgjpmm omgjpmm 安天反病毒工程师建议omgjpmm 1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。omgjpmm 2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年10月28日的病毒库即可查杀以上病毒omgjpmm omgjpmm 2008年10月30日病毒预警omgjpmm 一、“U盘寄生虫rea”(Worm.Win32.AutoRun.rea) 威胁级别:★★★★★omgjpmm 该病毒图标伪装成图片诱惑用户点击,病毒运行后,创建互斥量防止病毒多次运行,删除%System32%目录下的mfc71.dll文件,遍历进程查找safeboxTray.exe(360安全软件进程),找到该进程后将其进程强行结束,设置本地时间为2004年,用ShellExecuteA函数调用cacls.exe给everyone 用户组对packet.dll、pthreadVC.dll、wpcap.dll、npf.sys、npptools.dll、wanpacket.dll、acpidisk.sys 的完全控制,释放病毒驱动文件beep.sys到%System32%\Drivers目录下,替换现有的驱动文件,创建驱动设置名:“\\.\RESSDTDOT”利用系统beep服务加载病毒文件,恢复SSDT躲避卡巴主动提示,遍历进程查找多款安全软件进程找到则将其进程强行结束,并停止多款安全软件服务,将%System32%目录下的wuauct.exe拷贝到%HomeDrive%下重命名:temp.temp,拷贝病毒自身到%System32%目录下与%System32%Dllcache目录下,调用iexplore.exe创建进程,调用FindWindows函数查找类名为"IEFrame" 窗口,申请内存空间,将病毒代码写入IEXPLORE.EXE连接网路执行下载,拷贝自身到%HomeDrive%下命名为:MSCL.PLF,在每个驱动器下创建AUTORUN.INF达到双击启动病毒目的,获取光标位置、获取窗口句柄、获取当前窗口标签内容,检测当前窗口标题是否存在病毒预设的标题(多款安全软件标题),如发现则向该窗体发送消息将当前窗体关闭,将病毒自身属性设置为隐藏,修改注册表、删除注册表破坏安全模式、添加注册表启动项、劫持多款安全软件进程。omgjpmm omgjpmm omgjpmm 二、“U盘寄生虫qpv”(Worm.Win32.AutoRun.qpv) 威胁级别:★★★★★omgjpmm 该病毒是蠕虫,病毒的图标为windows自动更新程序,诱骗用户点击运行。病毒运行后,隐藏自身,破坏系统正常SFC功能,更改系统文件操作权限、删除系统文件、并用病毒文件替换正常的系统更新程序。病毒遍历进程列表,搜索并结束对其自身存在构成威胁的进程,隐藏打开Internet Explorer,通过远程写入在IE进程中创建病毒线程。病毒修改注册表启动项,达到开机自启动的目的、添加映像劫持项,使众多安全工具无法启动。病毒在各磁盘分区创建autorun.inf文件和病毒副本文件way.pif文件,达到自启动和U盘传播的目的。病毒检测当前鼠标位置的窗口是否含有对病毒有危险的信息,当出现病毒认为威胁它存在的信息时关闭此窗口。病毒连接网络更新自身,下载并运行大量其他病毒。omgjpmm omgjpmm 安天反病毒工程师建议omgjpmm 1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。omgjpmm 2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年10月30日的病毒库即可查杀以上病毒omgjpmm omgjpmm 2008年10月31日病毒预警omgjpmm 一、“灰鸽子”(Backdoor.Win32.Hupigon.afjk) 威胁级别:★★★★omgjpmm 该病毒为远程控制后门类,病毒图标伪装成安装包图标诱导用户点击,病毒运行后,创建互斥量“hacker.com.cn_mutex”,防止多次运行,拷贝自身到%WINdir%\目录下,重命名:“qq”,并设置属性为隐藏,创建病毒服务、以服务方式启动病毒,调用ChangeServiceConfig2函数改变病毒文件描述,等待运行完毕后释放批处理将自身删除,该病毒运行后会连接网络通过域名转向连接到指定的IP地址,等待控制端发送控制指令,受感染的用户计算机会被完全控制。omgjpmm omgjpmm omgjpmm 二、“偷取者soyg”(Trojan-GameThief.Win32.OnLineGames.soyg) 威胁级别:★★★omgjpmm 该病毒为盗取网络游戏口袋西游账号信息木马。该病毒运行后删除自身,释放病毒文件%Windir%\Fonts\aekdaolf.dll,属性设置为隐藏,修改aekdaolf.dll文件的创建时间。并将该DLL文件注入到explorer.exe中,在%Temp%下生成DFD1216078.bat文件对病毒文件进行删除。omgjpmm omgjpmm 安天反病毒工程师建议omgjpmm 1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。omgjpmm 2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年10月31日的病毒库即可查杀以上病毒omgjpmm omgjpmm 2008年11月3日病毒预警omgjpmm 一、“网络窃贼”(Trojan-GameThief.Win32.OnLineGames.thxi) 威胁级别:★★★omgjpmm 该病毒为盗取网络游戏梦幻西游online账号信息木马。该病毒运行后调用GetSystemDirectoryA这个函数来获取系统目录。该病毒运行后删除自身,衍生病毒文件到%System32%与%System32%\drivers下。修改注册表,注册DLL,添加开机自启动项,注册服务。把病毒文件注入到除smss.exe、csrss.exe、winlogon.exe以外的所有进程。创建名为system的进程,病毒运行后调用CreateMutexA函数在后台创建一个名为"HBInjectMutex"的互斥体,防止病毒自身运行多个实例。病毒DLL的作用是截获用户账号、密保等信息,回传到病毒作者指定的地址。omgjpmm omgjpmm omgjpmm 二、“偷取者”(Trojan-GameThief.Win32.OnLineGames.tkyl) 威胁级别:★★★omgjpmm 该病毒属于盗号木马,病毒运行后,首先在%WinDir%\MayaBaby目录下创建MayaBabyDll.dat、rizxw.dat;停止Beep服务,复制rizxw.dat替换原系统文件beep.sys,然后执行Beep服务,这样系统重新启动时,原系统服务Beep便会加载被替换了的驱动文件rizxw.dat;恢复SSDT, SSDT一旦被恢复到原始状态,可以使大多数杀软(如卡巴、瑞星、Tiny等)监控全部失效;随后复制自身到%WinDir%\MayaBaby下,新增注册表项,创建病毒服务network services,以达到随机启动病毒文件的目的;通过给当前系统执行的进程拍快照,来判断是否存在AVP.exe、ravmon.exe、ravtask.exe、ravstub.exe、ravmond.exe、rfwsrv.exe、rfwstub.exe、rfwmain.exe、360tray.exe、360safe.exe进程,如存在便终止以上进程;在%System32%下生成me.bat,用于删除原病毒文件和自身。omgjpmm omgjpmm 安天反病毒工程师建议omgjpmm 1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。omgjpmm 2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年11月3日的病毒库即可查杀以上病毒omgjpmm omgjpmm 2008年11月4日病毒预警omgjpmm 一、“游戏窃贼tqwb”(Trojan-GameThief.Win32.OnLineGames.tqwb)威胁级别:★★★ omgjpmm 该病毒为华夏2游戏盗号木马,病毒运行后,释放病毒文件“19b5406.sys、2EF0D734.cfg、2EF0D734.dll”(随机病毒名)到%System32%目录下,创建病毒服务,添加病毒HOOK项,注册病毒CLSID值,查找%System32%目录下的VErCLSiD.exe文件,如找到则将其删除,调用函数将病毒DLL文件加载到内存中,试图注入到所有进程中,病毒运行完毕后删除自身,病毒驱动文件主要行为:恢复SSDT使卡巴主动防御失效,DLL文件主要行为:调用函数创建、开启病毒服务,利用全局钩子获取键盘输入信息截取游戏账户信息,以URL方式发送到指定的地址中。 omgjpmm omgjpmm omgjpmm 二、“疯狂下载者”(Trojan-Downloader.Win32.Small.ejw) 威胁级别:★★★ omgjpmm 该病毒属木马,病毒伪装微软版本信息,用以迷惑用户。病毒运行后衍生病毒文件d26bf5b8.dll、d26bf5b8.exe 、d26bf5b8t.exe到系统目录%system32%下。连接网络下载病毒文件,修改注册表,创建服务,并以服务的方式达到随机启动的目的,删除系统正常服务。尝试结束卡巴斯基进程。 omgjpmm omgjpmm 安天反病毒工程师建议 omgjpmm 1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。 omgjpmm 2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年11月4日的病毒库即可查杀以上病毒omgjpmm omgjpmm 2008年11月5日病毒预警omgjpmm 一、“下载突击兵”(Trojan-Downloader.Win32.Tiny.akm) 威胁级别:★★★omgjpmm 病毒运行后自动在后台加载,到指定站点下载病毒文件。下载后的病毒文件自动运行并释放文件。下载病毒已木马居多,可以盗取多种游戏的帐号和密码,同时利用间谍木马监视用户的重要信息。其传播主要是通过捆绑和网络的网站挂马进行传播,建议用户在浏览网站尽量浏览可信度高的网站,下载文件时尽量到知名网站下载,下载后的文件用反病毒软件进行扫描。omgjpmm omgjpmm omgjpmm 二、“偷取者med”(Trojan-PSW.Win32.OnLineGames.med) 威胁级别:★★★omgjpmm 该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。禁用Windows自动更新与防火墙功能,以降低系统安全性。以ratbqpi.dll插入到天龙八部进程中进行游戏信息获取并回传。omgjpmm omgjpmm omgjpmm 安天反病毒工程师建议omgjpmm 1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。omgjpmm 2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年11月5日的病毒库即可查杀以上病毒omgjpmm omgjpmm 2008年11月6日病毒预警omgjpmm 一、“下载控制者”(Backdoor.Win32.Small.duj) 威胁级别:★★★★omgjpmm 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹路径,创建_temp.bat到%Windir%\Temp目录下,并执行批处理代码,目的将%Windir%\目录下与%system32%\dllcache目录下的explorer.exe文件授予当前用户完全控制权限,调用ZwQuerySystemInformation函数枚举进程模块,判断是否存在SunwardSysMon.sys(驱动防火墙文件),释放病毒驱动文件hook.sys到%Windir%\Temp目录下,创建病毒服务,等待加载完毕后将病毒驱动文件删除,并衍生病毒文件到系统目录%Windir%\Temp下;重命名为weilai.mp3;该文件伪装成MP3格式文件隐藏运行,连接网络下载大量恶意文件,下载的病毒文件多数为盗号木马,受感染用户还有可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。omgjpmm omgjpmm omgjpmm 二、“灰鸽子变种diq”(Trojan.Win32.Agent.diq) 威胁级别:★★★★★omgjpmm 该病毒为“灰鸽子”后门病毒变种。病毒将释放DLL文件inudhya.dll到当前目录下,并将该病毒DLL文件注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩某些API,从而隐藏病毒文件,使用户无法使用常规的方式发现病毒,病毒运行后,创建注册表病毒服务,病毒使用了多种方式隐藏,普通用户难以发现并杀除,中了该病毒的用户会被远程控制,盗取个人私密资料信息等。omgjpmm omgjpmm omgjpmm 安天反病毒工程师建议omgjpmm 1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。omgjpmm 2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年11月6日的病毒库即可查杀以上病毒omgjpmm omgjpmm 2008年11月7日病毒预警omgjpmm 一、“疯狂下载者”(Trojan-Downloader.Win32.Crazy.ae) 威胁级别:★★★★omgjpmm 该病毒是一个下载者类型病毒,病毒体通过移动设备传播。病毒体得到运行后,会连接网络指定地址,按照一个预先设定好的地址列表来下载病毒体到本机运行,下载的病毒包括蠕虫、木马、后门类型的病毒。病毒在每一个分区包括移动设备根目录下衍生autorun.inf、ntldr.exe文件,来达到当用户双击磁盘分区时,激活病毒体的目的。下载大量的盗号程序,包括盗取QQ,各类网络游戏的木马病毒。病毒体下载的大量病毒所造成的链式反应,最终会导致系统变慢,最后发生蓝屏重启现象。如用户发现出现上述症状,请及时使用安全软件扫描全盘查杀病毒。omgjpmm omgjpmm omgjpmm 二、“qq大盗”( Trojan-PSW.Win32.QQPass.avg) 威胁级别:★★★★omgjpmm 该病毒属盗QQ账号木马。病毒运行后复制自身到%Program Files%\InternetExplorer\PLUGINS\下,重命名为WinSys8k.Sys与Sys_Win7s.Jmp,使其属性设置为隐藏,使用户不易发现,添加HOOK启动项,添加注册表启动项,以达到开机自启动目的,关闭自动更新,建消息钩子,使多个进程加载释放的病毒文件WinSys8k.Sys,查找Tencent_QQBar和Tencent_QQToolBar这两个窗口,获得QQ用户的账号信息并发送到指定邮箱。omgjpmm omgjpmm omgjpmm 安天反病毒工程师建议omgjpmm 1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。omgjpmm 2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年11月7日的病毒库即可查杀以上病毒omgjpmm omgjpmm 2008年11月10日病毒预警omgjpmm 一、“控制者”( Backdoor.Win32.Sinowal.aav) 威胁级别:★★★★omgjpmm 该病毒为后门类病毒,创建互斥量MutexName = "Global\DD8D9E3C36AD47F8937D59F372EFF498",获取临时文件夹目录%Temp%\ 创建1.tmp、2.tmp到该目录,调用CreateProcessA函数创建该文件进程,加载病毒文件2.tmp到进程中,获取函数地址、序号:ProcNameOrOrdinal = "wep",完毕后删除2.tmp,利用函数挂钩进程ProcessId = 658,截取消息,并传给HookFunc函数处理,等待3600000.ms退出,创建病毒服务,以服务方式启动病毒,试图连接网络以POST方式发送消息。omgjpmm omgjpmm 二、“U盘寄生虫”( Worm.Win32.AutoRun.doc) 威胁级别:★★★★omgjpmm 该病毒为蠕虫类病毒,病毒运行后,判断%HomeDrive%盘下是否存在msdos.bat,如存在则调用函数打开该文件,在%Windir%目录下创建Tasks目录,并查找该目录下的"0x01xx8p.exe"文件将其删除,并传送自身到该文件夹下,休眠5000ms后,遍历进程查找AVP.exe进程,如存在该进程则休眠24000ms后将系统当前时间设置为2004年1月1日,拷贝%System32%目录下的spoolsv.exe到%Windir%\Tasks目录下,重命名为:spoolsv.ext、spoolsv.brk,修改spoolsv.ext资源节rsrc名为WYCao,并写入2600字节病毒数据,修改文件入口点,拷贝%System32%目录下的spoolsv.exe到%System32%\dllcache目录下,删除%System32%目录下的spoolsv.exe文件,传送%Windir%\Tasks目录下的poolsv.ext到%System32%目录下,使系统启动后加载被修改的spoolsv.exe文件,遍历进程查找AVP.exe、kvsrvxp.exe、kissvc.exe,找到存在以上进程则调用API强行结束进程,遍历进程查找explorer1.exe,如找到该进程则申请内存空间向该进程写入978944字节病毒数据,病毒运行后会连接网络下载大量病毒文件。omgjpmm omgjpmm 安天反病毒工程师建议omgjpmm 1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。omgjpmm 2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年11月10日的病毒库即可查杀以上病毒omgjpmm omgjpmm 2008年11月11日病毒预警omgjpmm 一、“IRC后门”(Backdoor.Win32.Rbot.ivf) 威胁级别:★★★★omgjpmm 此病毒为后门类病毒,该病毒运行后,复制自身文件到%System32%目录下重命名为:“WinFUS32.exe”,此病毒为一个利用Windows平台下IRC协议的网络蠕虫,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。omgjpmm omgjpmm 二、“木马下载者gzt”(Trojan-Downloader.Win32.Delf.gzt) 威胁级别:★★★★omgjpmm 该病毒为木马类。病毒运行后复制多个自身到系统目录下和All Users用户下的启动文件夹下;并释放autorun.inf文件和本体到磁盘根目录下,以达到打开磁盘运行病毒和感染可移动传输介质,并将autorun.inf文件内容备份到h.bmp中;并将病毒主文件设置为隐藏属性;修改注册表添加启动项,将启动项键值指向系统目录下的病毒文件,修改隐藏文件显示属性,使得用户无法发现病毒文件,映像劫持多种防病毒软件,使得防病毒软件失效。该病毒会连接指定地址下载大量病毒,病毒下载后自动运行,其中以盗号木马居多。给病毒的清理带来了一定的困难。omgjpmm omgjpmm 安天反病毒工程师建议omgjpmm 1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。omgjpmm 2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年11月11日的病毒库即可查杀以上病毒 |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
 |
紧急求救!!!!! |
| |
[图文] 反病毒木马辅助工具... |
 |
[求助] 无法进入系统 |
| |
[讨论] 为什么系统的时间老... |
| |
[求助]系统核心服务程序6和... |
| |
[求助] 开机后瑞星杀毒软件... |
| |
[已解决] [求助]跪求如何清... |
| |
每次开机都弹出三个网页对... |
| |
[求助] 帮看下扫描 |
| |
反病毒可能需要用到的方法... |
