江民8月21日病毒播报:卡其虫利用微软漏洞传播 后台下载恶意程序
江民今日提醒您注意:在今天的病毒中Worm/Randex.g“乱敌虫”变种g和TrojanDownloader.JS.Cutqq.e“卡其虫”变种e值得关注。
病毒名称:Worm/Randex.g
中 文 名:“乱敌虫”变种g
病毒长度:35840字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/Randex.g“乱敌虫”变种g是“乱敌虫”蠕虫家族的最新成员之一,采用VC++编写,并经过添加保护壳处理。“乱敌虫”变种g运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下,重命名为“spoler.exe”,并添加为启动项,实现蠕虫开机自动运行。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息,并提交到骇客指定的服务器上。在被感染计算机的后台连接骇客指定站点,下载恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。与骇客指定的服务器站点建立网络连接,骇客可通过“乱敌虫”变种g远程控制被感染的计算机,可执行的恶意操作包括:文件操作,进程操作,注册表操作,服务操作,键盘记录,命令操作等,给用户的计算机安全和个人隐私,甚至商业机密造成严重威胁。“乱敌虫”变种g会试图利用共享文件夹进行局域网内的传播。另外,“乱敌虫”变种g还具有自我删除的功能,以便消除痕迹。
病毒名称:TrojanDownloader.JS.Cutqq.e
中 文 名:“卡其虫”变种e
病毒长度:2695字节
病毒类型:木马下载器
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.JS.Cutqq.e“卡其虫”变种e是“卡其虫”木马家族的最新成员之一,采用javascript脚本语言编写,并且经过加密处理,利用微软MS06-014漏洞传播其它病毒。“卡其虫”变种e一般内嵌在正常网页中,如果用户计算机没有及时升级修补相应程序模块的漏洞补丁,那么当用户使用浏览器访问带有“卡其虫”变种e的恶意网页时,就会在当前用户计算机的后台连接骇客指定的远程服务器站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、有害程序、后门等,给用户带来不同程度的损失。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、开启江民杀毒软件“系统漏洞检查”功能,全面扫描操作系统漏洞,及时更新Windows操作系统,安装相应补丁程序,以避免病毒利用微软漏洞攻击计算机,造成损失。
4、江民防马墙在系统自动搜集分析带毒网页的基础上,通过黑白名单,阻止用户访问带有木马和恶意脚本的恶意网页并进行处理,有效保障用户上网安全。
5、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
6、江民杀毒软件的虚拟机脱壳技术,针对目前主流壳病毒进行虚拟脱壳处理,有效清除“壳病毒”。
7、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页,如检测发现恶意网页,用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。网页安全专家下载地址:
http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm
8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:
http://online.jiangmin.com/chadu.asp
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站
http://www.jiangmin.com进行在线查阅。
金山毒霸每日病毒预警
“灰鸽子变种679936”(Win32.Hack.Huigezi2007.679936),这是一个灰鸽子木马的变种。它会在用户电脑里建立全局监视,并与病毒作者指定的远程服务器通讯,帮助黑客进行一系列的远程监控等操作。它为迷惑用户,还会将自己伪装成一个数据安全保护进程。
“对抗型魔兽盗号器11353”(Win32.Troj.OnLineGames.ak.11353),这是一个针对《魔兽世界》的网游盗号木马。它会把盗取的账号信息通过网页提交的方式发送到木马种植者手上。它还具有一定的对抗安全软件能力。
一、“灰鸽子变种679936”(Win32.Hack.Huigezi2007.679936) 威胁级别:★★
此木马是的主要威胁行为是它能协助黑客对用户电脑进行远程控制。它在用户系统中运行起来后,就会启动IE浏览器的进程,在后台悄悄地访问IP查询网站,获得用户电脑的IP信息,然后反向连接病毒作者指定的远程服务器(黑客控制端)。
连接成功后,此木马就监视用户的操作和网络访问情况,并等待黑客控制端发出的指令。利用该木马制造的后门,黑客可以对用户系统进行任何想要的控制。
该木马的文件被隐藏在%windows%目录下,名为systme.txt。它会被写入注册表,注册为服务启动。为蒙蔽用户,它给自己取的服务名为Protected Storag,服务描述为“提供对敏感数据(如私钥)的保护性存储”。习惯手动查杀的用户可对此留意。
当运行完成后,此木马就释放一个BAT文件,删除自己的原始文件。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-hack-huigezi2007-679936-50881.html
二、“对抗型魔兽盗号器11353”(Win32.Troj.OnLineGames.ak.11353) 威胁级别:★
此盗号木马具有一定的对抗能力,它进入系统后会首先搜索360安全卫士的进程,尝试将其强行关闭。
如果上面的步骤成功,它便把自己的dll文件注入到游戏进程当中,并展开消息监视。它监视用户与游戏服务器之间的通讯,从中筛选出《魔兽世界》玩家的游戏帐号与密码。
在顺利盗窃了帐号和密码后,它立即悄悄连接病毒作者指定的远程地址,以网页提交的方式将赃物发送出去。
病毒文件exlplo.Dll会被隐藏在系统盘%WINDOWS%\system32\目录下,习惯手动查杀的用户要留意。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-t ... ak-11353-50882.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年8月20的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录
http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
瑞星8月21日反病毒反木马播报
据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它是:“线上游戏窃取者变种PIU(Trojan.PSW.Win32.GameOL.piu)”病毒。这是个偷取游戏密码的病毒,它会注入到系统Explorer.Exe进程中,查找游戏进程,窃取游戏密码后发送给黑客指定的网址。
本日热门病毒:
“线上游戏窃取者变种PIU(Trojan.PSW.Win32.GameOL.piu)”病毒:警惕程度★★★,盗号木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个偷游戏密码的病毒。病毒采用Delphi语言编写,Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件,设置自身属性为系统,隐藏,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。
