比特网安全频道今日提醒您注意:在周末的病毒中“网游窃贼”变种iyo、“系统杀手”变种dj、“QQ诈骗犯”变种b、“苍蝇贼”变种dz、“魔兽”变种auj、“IMG-WMF漏洞利用者”变种l、“西游木马变种AJO”、“U盘蠕虫下载器变种EYX”和“灰鸽子变种PE”变种都值得关注。
一、周末高危病毒简介及中毒现象描述:
“网游窃贼”变种iyo是“网游窃贼”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“网游窃贼”变种iyo运行后,会在被感染计算机的系统目录下释放多个病毒文件,同时将其中的DLL病毒文件插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程以及几乎所有用户级权限的进程中加载运行,通过隐藏自身来防止被轻易地查杀。“网游窃贼”变种iyo是一个专门盗取“QQ华夏Online”、“地下城与勇士 Online”等网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。同时,“网游窃贼”变种iyo还具有窃取玩家游戏账号密码保护的功能。因此,当游戏玩家发现自己的游戏账号被盗时,请千万不要在被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码,否则会连同密码保护资料一起被骇客盗取,进而蒙受更多的损失。“网游窃贼”变种iyo会利用域名映像劫持功能,阻止用户访问网络游戏的官方站点,从而延误了用户在丢失账号后立即取回密码的时机。“网游窃贼”变种iyo利用进程守护功能来实现自我保护。该病毒会通过替换系统文件来实现开机的自启动。如果安全软件直接删除了病毒文件的话,会导致被感染计算机出现复制(粘贴)功能失效等异常现象,严重地影响了用户对计算机系统的正常使用。另外,“网游窃贼”变种iyo的主程序执行完毕后会自我删除。
“系统杀手”变种dj是“系统杀手”木马家族中的最新成员之一,采用Delphi语言编写,经过加壳保护处理。“系统杀手”变种dj运行后,会复制自身到系统“c:\tasks\”目录下并重新命名为“绿化.bat”和“csrss.exe”。同时,还会释放脚本文件“hackshen.vbs”和配置文件“SA.DAT”。禁用Windows 安全中心服务“Security Center”,使关闭安全软件后没有警告提示信息,从而达到自我保护的目的。后台调用系统进程“csrss.exe”,尝试结束某些安全软件的运行,给用户的计算机安全造成了一定的安全隐患。释放DLL病毒文件“wsock32.dll”到系统的所有目录下(其中,由于兼容性的问题,可能会导致某些系统软件启动后会报错、退出),利用DLL劫持原理,使某些带有连网功能的软件自动连接骇客指定站点“http://211.***.***.32/wm/”,下载恶意程序“mm.exe”并调用运行(其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成不同程度的安全威胁。
“QQ诈骗犯”变种b是一个传播QQ钓鱼网站的木马程序,通过弹出伪装的QQ中奖消息广告条窗口来诱惑用户上当受骗,从而利用让用户交纳手续费的方式来骗取钱财。该病毒采用VB语言编写,经过加壳保护处理。“QQ诈骗犯”变种b运行时,会在被感染计算机系统中定时弹出伪装的QQ中奖消息广告条窗口来诱惑用户上当受骗。这些广告来源地址为“http://www.**q*8.cn/m/gx.htm”,骇客可以远程随意更新这些广告网址上的信息内容。如果用户不慎点击了这些广告条窗口中的恶意网站连接,该木马程序就会调用IE浏览器打开伪造的网站,并显示虚假的中奖信息,诱惑用户点击并进入领奖窗口。用户按照中奖消息上提供的验证码去钓鱼网站上领取奖品时,需要填写个人资料等信息。领奖信息全部填写完成后,钓鱼网站会提示被骗者给骇客的银行帐户汇钱,从而给被骗者造成不同程度的经济损失。另外“QQ诈骗犯”变种b是通过其它病毒的调用而启动运行的。
“苍蝇贼”变种dz是“苍蝇贼”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL病毒文件,一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行,并在被感染计算机系统的后台执行恶意操作,防止被发现和查杀。“苍蝇贼”变种dz运行时,会在被感染计算机系统的后台秘密监视用户的键盘输入,窃取用户输入的大部分账号及密码等机密信息资料,并在后台将窃取的这些机密信息资料发送到骇客指定的远程服务器站点或邮箱里,会给被感染计算机用户的合法权益造成不同程度的侵害。“苍蝇贼”变种dz运行后,会在系统的后台秘密连接骇客指定的服务器,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过“苍蝇贼”变种dz木马程序来实现远程控制,严重的威胁到了计算机用户的信息安全,甚至还会对商业机密造成无法挽回的损失。
“魔兽”变种auj是“魔兽”木马家族中的最新成员之一,采用Delphi语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“魔兽”变种auj是一个专门盗取“魔兽世界Online”网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。另外,“魔兽”变种auj会通过在被感染计算机注册表启动项中添加键值的方式实现开机后木马自动运行。
“IMG-WMF漏洞利用者”变种l是一个利用微软MS08-067漏洞进行恶意攻击的工具。攻击者会利用该工具向指定用户计算机发送特定的远程连接请求。如果用户的计算机没有及时修补该漏洞,在收到该工具发送的特制RPC请求后,会使攻击者不经身份验证,便可成功在远程计算机中执行恶意代码。此漏洞已被用于一些蠕虫攻击事件之中,攻击成功后会导致被攻击系统自动下载骇客指定远程服务器上的恶意程序,并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的安全威胁。强烈建议您使用江民安全工具中的“系统漏洞检查”功能修复该漏洞。同时,安装并合理配置防火墙,以保护计算机系统不受恶意攻击之害。
“西游木马变种AJO (Trojan.PSW.Win32.XYOnline. ajo)”该木马运行后,在系统目录下释放msosdohs00.Dll、msosfpids32.Sys病毒文件,修改注册表实现随系统启动。不断搜索杀毒软件进程,并试图将其强行关闭,使得某些杀毒软件不能正常运行。窃取《大话西游2》的游戏账号和密码,并将其发送出去。
“U盘蠕虫下载器变种EYX(Worm.Win32.Autorun.eyx)”这是一个蠕虫病毒。毒运行后会在目录system生成自身命名为svchost.exe和释放文件名为winlogon.exe的文件, 然后启动这两个程序的进程,该病毒使用双进程守护的功能,如果其中的一个进程被结束,那么另外一个进程就会执行关机命令,以躲避查杀。病毒会在每隔一段时间就在盘符里面写入文件svchost.exe和autorun.inf,达到双击盘符就运行病毒和使用移动硬盘传播病毒的目的。修改注册表键值,以达到开机自动启动的目的,最后会下载大量木马病毒到用户电脑执行,给用户电脑带来巨大的安全隐患。
“灰鸽子变种PE(Backdoor.Win32.Gpigeon2008.pe)”该病毒运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过在后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。如此用户计算机将被远程控制,不自主地删除文件,远程下载上传文件,修改注册表等等,给用户的计算机和隐私安全带来很大隐患。
二、针对以上病毒,比特网安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、瑞星的病毒库均已更新,并能查杀上述病毒。感谢江民科技、瑞星信息技术为比特网安全频道提供病毒信息。
