病毒周报(080428至080504)动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报牵手广州市计算机信息网络安全协会(www.cinsa.cn)发布:
本周重点关注病毒:
“仿真机器狗”(Win32.Troj.Downloader.ns.25088) 威胁级别:★★
这个下载器很明显是仿照机器狗来制作的。它开始运行后,首先删除注册表中一些免疫机器狗病毒工具的启动信息,破坏目前已有的各类机器狗专杀工具的运行,并修改系统时间为2003年,让依赖系统时间进行激活和升级的杀毒软件失效。
接着,它在系统盘的%windows%\system32\drivers\目录下释放文件7.tmp(注意,文件名是随机生成的),并将它注入到系统桌面进程中,修改桌面进程的数据,将其变为自己的傀儡,以便执行下一步的操作。
病毒继续运行,它搜索并替换掉所有用户对系统目录的完全控制权限,让用户完全失去对自己电脑的控制,这样一来,就能阻止用户进行手动查杀。最后,病毒在“c:\temp\”目录下释放出另一个随机命名的.tmp格式文件运行,试图连接网络执行下载。
根据动物家园反病毒斗士的分析,由于病毒本身功能设计的问题,下载行为无法实现。但不排除病毒作者会在下一个变种中进行改进的可能。因此,对该毒需要特别注意。
“时间机器下载器65697”(Win32.Troj.OnlineGameT.bd.65697) 威胁级别:★
这个病毒具有一定的对抗杀软能力,它所对抗的是杀毒软件卡巴斯基。当成功进入用户系统后,该病毒将主文件WINSvr32.exE释放到%WINDOWS%目录下,而负责执行下载行为的文件WINSvr32.dll释放到%WINDOWS%\system32\目录下。
病毒释放完文件后,搜索系统中是否安装得有卡巴斯基的文件AVP.exe,如有,则修改系统时间为过去,造成依赖时间进行激活和升级的卡巴失效。接着,它探测这台电脑是否已被自己入侵过,如已有,则停止行动。如果没有,则修改系统注册表启动想,实现开机自启动。
当顺利运行起来,病毒就将WINSvr32.dll注入到桌面进程explorer.exe中运行,再从后台连接病毒作者指定的地址http://www.j***sh.com,隐蔽地下载其它病毒到用户电脑里运行,引发更多无法预料的破坏。
“后门小广告327680”(Win32.Troj.Agent.re.327680) 威胁级别:★
病毒进入电脑后,将自身文件Boercservice.exe和Boercservice.dll拷贝到%WINDOWS%下,同时,释放多个文件到系统的临时目录,也就是%Temp%目录下,如krnln.fne、krnln.fnr等等。值得注意的是,Boercservice.exe这个文件会伪装成Flash播放器的图标,迷惑用户。
病毒的作案过程与其它大部分的黑客程序相近,它会将主文件Boercservice.exe写入启动项,实现开机自启动,然后把DLL文件注入系统桌面进程IEXPLORE.exe中,搜索IE浏览器的窗口,控制它弹出病毒作者指定的广告网页,给广告网页“贡献”出流量。
但仅仅是弹射广告的话,还不足以威胁用户的系统安全。该病毒真正可恶之处是它会悄悄建立后门,等待病毒作者(黑客)的连接。如果黑客进入用户系统,就可以进行任何他想要的操作。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
