当前位置:首页 > 网络安全 > 正文

8月26日病毒预警:小心沦陷为傀儡主机

2009-08-26 比特网

  一、今日高危病毒简介及中毒现象描述:

  “网游窃贼”变种azfw是“网游窃贼”盗号木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“网游窃贼”变种azfw运行后,会在被感染计算机系统的“%SystemRoot%\help\”目录下释放经过加壳保护的恶意DLL组件“ATIWINGHKBES.dll”,文件属性设置为“系统、隐藏”。恶意修改系统时间,致使某些安全软件的系统监控功能因为授权过期而失效,从而达到了自我保护的目的。“网游窃贼”变种azfw是一个盗取“雅虎奇摩”会员账号的木马程序,运行后会首先确认自身是否已经被插入到桌面进程“explorer.exe”中。监视当前的系统状态,伺机进行恶意操作。定位“yahoobuddymain”窗口,利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号等信息,并在后台将窃得的信息发送到骇客指定的收信页面“http://www.djyoud*.com/tw/sendmail.asp”等上(地址加密存放),致使用户的账号丢失。另外,“网游窃贼”变种azfw会修改注册表键“ShellExecuteHooks”的键值,以此实现盗号木马的开机自启。

  “毒波”变种hd是“毒波”后门家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“毒波”变种hd运行后,会在被感染系统的“%SystemRoot%\system32\”目录下释放经过加壳保护的恶意DLL组件“qmgr.dll”,以此覆盖系统的同名文件(该文件为系统服务“后台智能传输服务”所对应的文件),并将文件属性设置为“系统、隐藏、只读”。其会关闭系统文件保护功能,从而使得覆盖系统文件时不会弹出警告信息,以此蒙蔽了用户。在文件释放完成后,病毒原文件会将自我删除,以此消除痕迹。“毒波”变种hd会将释放的DLL文件以系统服务方式加载,其运行后会不断尝试与控制端(地址为:wopk.33*.org:8001)进行连接。一旦连接成功,则被感染的计算机就会沦为骇客的傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作(控制操作包括但不限于:文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、视频监控等),给用户的个人隐私等造成了不同程度的侵害。同时,骇客还可以向傀儡主机发送大量的恶意程序,从而对用户构成了更加严重的威胁。

  二、针对以上病毒,比特网安全频道建议广大用户:

  1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

  2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。

  3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。

  截至记者发稿时止,江民的病毒库已更新,并能查杀上述病毒。感谢江民科技为比特网安全频道提供病毒信息。
 

大家都爱看
查看更多热点新闻