动物家园计算机安全咨询中心([url]www.kingzoo.com[/url])反病毒斗士报:


“代理木马变种dbr”(Trojan/win32.Agent.dbr[Rootkit])威胁级别:★★

       该恶意文件为木马类,病毒运行后,动态加载系统DLL文件"msvcrt.dll",该DLL是标准的微软C运行库文件,创建线程、遍历进程查找"avp.exe"找到之后退出线程,如没发现"avp.exe"进程则提升进程操作权限,衍生病毒驱动文件到%System32%\drivers目录下,命名为"kvsys.sys"、"tesafe.sys",该驱动文件删除部分安全软件服务、终止部分安全软件进程、恢复SSDT躲避杀软主动查杀,创建病毒驱动设备名为:"\\.\kvsys"、"\\.\tesafe",删除本地"hosts"文件、并重新创建一个hosts文件,劫持大量域名地址,添加病毒注册表服务,衍生病毒文件"fsrtdfyyvuu.exe"到临时目录下,调用函数打开衍生的病毒文件,获取磁盘启动器类型,遍历目录查找所有后缀是EXE的文件,并且在非系统盘的可执行文件中释放大量"usp10.dll"文件,病毒运行完后删除自身。

“dnf木马”(Trojan/Win32.OnLineGames.uuhu[GameThief])威胁级别:★★

      该病毒为盗取网络游戏dnf游戏账号的木马,病毒运行后检测%System32%目录下是否存在*.dll文件,如果存在更改其文件名;复制系统文件sfc_os.dll,加载sfc_os.dll文件副本并调用其中相关函数禁用系统文件保护;移动系统文件comres.dll,尝试在系统目录和字体目录下分别衍生病毒文件comres.dll,在系统字体目录下衍生病毒文件gth60328.ttf;遍历进程列表查找巨人游戏客户端进程"dnf.exe",并将之关闭。调用comres.dll文件中的ins函数删除原始病毒文件。病毒不会对注册表进行操作,病毒通过替换系统文件comres.dll的方式来实现随机启动,被替换的comres.dll文件被加载后将截获用户信息调用gth60328.ttf文件将信息回传给病毒作者。

动物家园计算机安全咨询中心反病毒工程师建议:

   1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。

   5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询