动物家园计算机安全咨询中心([url][/url])反病毒斗士报牵手广州市计算机信息网络安全协会([url][/url])发布:
本周重点关注病毒:
“蒋干盗书117248”(Win32.Troj.MsnThief.xh.117248) 威胁级别:★★
针对电子邮箱帐号信息的盗号木马已经有好一阵子没出现了,几乎让人忘记了它们的存在,最近发现这种病毒又有大肆传播的苗头。
此次发现的病毒样本具有较强的传播能力。它的文件名称为XXX.hlp样式,通过附件的形式发送给用户邮箱。如果用户是利用客户端工具(例如OutLook Express等)来接收邮件,并且工具的安全等级设置较低,那么只要用户打开邮件,哪怕没点击附件,病毒也会自动激活。
病毒母体运行后,会先释放子文件到系统临时目录temp中,然后执行文件。病毒检测当前系统进程,随机选择进程中的一个进程名作为自己的名称。
当顺利运行起来,该毒就建立监视,窥探用户在使用电子邮箱时输入的帐号密码。它的目标名单包括了MSN邮箱、163邮箱、sina邮箱、tom邮箱、cityyouth邮箱、chinamail邮箱等常见邮箱。
当偷盗成功后,该毒就会利用这些邮箱发送自己的副本,扩大传染范围。并连接远程地址,下载其他病毒到本地执行。而下载,才是它最终的目的。
“QQ假消息诈骗器204800”(.204800) 威胁级别:★★
这个广告木马的综合破坏能力比较强。它利用AUTO技术自动传播,当进入电脑后就运行自带的对抗模块,尝试映像劫持或直接关闭用户系统中的安全软件。然后读取中毒电脑的mac地址、功能dll文件的版本信息、以及黑客在进行攻击时用得着的其它一些数据,将它们发送到病毒作者指定的黑客服务器。
随后,服务器回馈给该毒大量的恶意程序,以及最新的配置文件,病毒读取配置文件后,弹出一个模拟QQ消息的窗口,欺骗用户说中了大奖要用户到一个伪装成腾讯网站的钓鱼网站兑奖……这实在是一种老套和过时的诈骗手段,但由于病毒是模拟QQ系统消息弹出信息,还是有部分用户会信以为真。
经检查,该毒的子文件会被释放在 %WINDOWS%\system\目录下,名称随机生成,而它所下载的恶意程序大部分是盗号木马。
“MSN寄生虫9216”(Win32.Troj.Undef.9216) 威胁级别:★
此毒为一款远程木马,它的目的是将用户电脑与病毒作者指定的黑客服务器相连接,便于黑客入侵用户系统。该毒比较有意思的地方,是在于它并不是直接利用IE进行连接,而是要先搜索并注入MSN聊天工具的进程,利用MSN来开启端口,然后才能进行连接。
病毒母体进入系统后,先判断当前帐号是否是Administrator(管理员帐号),如果是,就释放出病毒副本freeforxpdl.scr到%WINDOWS%\system32\。当修改注册表实现开机自启动后,该毒会建立一个监视程序,如果发现自己的注册表项目被修复,就立刻将其再改回去,以保证自己的顺利运行。
它判断系统进程中是否存在msnmsgr.exe(MSN的进程),在msnmsgr.exe进程中创建远程线程,利用Windows Socket系列函数开启端口,连接指定地址qi***,然后监听端口,等待黑客发出的指令。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆(安全咨询中心)咨询
本周重点关注病毒:
“蒋干盗书117248”(Win32.Troj.MsnThief.xh.117248) 威胁级别:★★
针对电子邮箱帐号信息的盗号木马已经有好一阵子没出现了,几乎让人忘记了它们的存在,最近发现这种病毒又有大肆传播的苗头。
此次发现的病毒样本具有较强的传播能力。它的文件名称为XXX.hlp样式,通过附件的形式发送给用户邮箱。如果用户是利用客户端工具(例如OutLook Express等)来接收邮件,并且工具的安全等级设置较低,那么只要用户打开邮件,哪怕没点击附件,病毒也会自动激活。
病毒母体运行后,会先释放子文件到系统临时目录temp中,然后执行文件。病毒检测当前系统进程,随机选择进程中的一个进程名作为自己的名称。
当顺利运行起来,该毒就建立监视,窥探用户在使用电子邮箱时输入的帐号密码。它的目标名单包括了MSN邮箱、163邮箱、sina邮箱、tom邮箱、cityyouth邮箱、chinamail邮箱等常见邮箱。
当偷盗成功后,该毒就会利用这些邮箱发送自己的副本,扩大传染范围。并连接远程地址,下载其他病毒到本地执行。而下载,才是它最终的目的。
“QQ假消息诈骗器204800”(.204800) 威胁级别:★★
这个广告木马的综合破坏能力比较强。它利用AUTO技术自动传播,当进入电脑后就运行自带的对抗模块,尝试映像劫持或直接关闭用户系统中的安全软件。然后读取中毒电脑的mac地址、功能dll文件的版本信息、以及黑客在进行攻击时用得着的其它一些数据,将它们发送到病毒作者指定的黑客服务器。
随后,服务器回馈给该毒大量的恶意程序,以及最新的配置文件,病毒读取配置文件后,弹出一个模拟QQ消息的窗口,欺骗用户说中了大奖要用户到一个伪装成腾讯网站的钓鱼网站兑奖……这实在是一种老套和过时的诈骗手段,但由于病毒是模拟QQ系统消息弹出信息,还是有部分用户会信以为真。
经检查,该毒的子文件会被释放在 %WINDOWS%\system\目录下,名称随机生成,而它所下载的恶意程序大部分是盗号木马。
“MSN寄生虫9216”(Win32.Troj.Undef.9216) 威胁级别:★
此毒为一款远程木马,它的目的是将用户电脑与病毒作者指定的黑客服务器相连接,便于黑客入侵用户系统。该毒比较有意思的地方,是在于它并不是直接利用IE进行连接,而是要先搜索并注入MSN聊天工具的进程,利用MSN来开启端口,然后才能进行连接。
病毒母体进入系统后,先判断当前帐号是否是Administrator(管理员帐号),如果是,就释放出病毒副本freeforxpdl.scr到%WINDOWS%\system32\。当修改注册表实现开机自启动后,该毒会建立一个监视程序,如果发现自己的注册表项目被修复,就立刻将其再改回去,以保证自己的顺利运行。
它判断系统进程中是否存在msnmsgr.exe(MSN的进程),在msnmsgr.exe进程中创建远程线程,利用Windows Socket系列函数开启端口,连接指定地址qi***,然后监听端口,等待黑客发出的指令。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆(安全咨询中心)咨询
