|
| “萨博瑞斯蠕虫”病毒摘要 |
| 作者 网络vs浪子 查看 165 发表时间 2008/6/2 14:34 【论坛浏览】 |
|
病毒名称:Worm.Win32.SubRest.asgnt 截获时间:2007.09.28sgnt 入库版本:19.42.51sgnt 类型:病毒 感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000 威胁情况: 传播级别:高 全球化传播态势:低 清除难度:困难 破坏力:高 破坏手段:感染EXE文件 ,通过网络、局域网传播 此程序为Worm类型程序sgnt 1. 病毒初始化:sgnt sgnt 病毒运行后,会把自己释放的文件复制到System文件夹下来隐藏自己,不容易被发现:sgnt ctfmon.exe-----------病毒自身sgnt nthide.dll-------------用来隐藏病毒进程、文件sgnt sgnt 2. 加载自启动功能:sgnt 修改注册表,sgnt SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN下增加一个键值sgnt "ctfmon.exe" = C:\WINDOWS\system\ctfmon.exesgnt 以便病毒在系统重新启动后可以继续运行。sgnt sgnt 3. 关闭系统SFC功能:sgnt 病毒会利用系统的sfc_os.dll文件,去调用sfc_os.dll的导出函数,把操作系统的自我保护功能关闭,使用户的所有文件都失去保护功能。这样方便病毒去感染Wndow目录下的文件。sgnt sgnt 4. 进程、程序的隐藏:sgnt 会运行system目录下的ctfmon.exe(该病毒副本),然后调用自己释放的ntHide.dll来把自己在进程中隐藏,这样当用户打开任务管理器,或是在我的电脑中是永远看不到病毒文件的。sgnt 在上面的所有步骤完成后,到此病毒的隐藏手段完成,这时病毒开始真正工作。 病毒会启用两个线程来进行破坏: 线程一:sgnt 监视系统,如果发现电脑上有可移动设备接入时,会把自身自制到RECYCLER目录下,并在每个磁盘根目录下建立 Autorun.inf文件。当用户用我的电脑浏览可移动设备时,病毒会不知不觉的自动运行。 线程二:sgnt 病毒遍历可移动磁盘、本地磁盘、网络共享磁盘进行感染。文件被感染后会把宿主文件包在病毒的尾部, 被感染的文件运行时,先执行病毒代码,然后释放并运行正常文件。 安全建议: 1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。 2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。 3 不浏览不良网站,不随意下载安装可疑插件。 4 不接收QQ、MSN、Emial等传来的可疑文件。 5 上网时打开杀毒软件实时监控功能。 6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。 |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
