比特网安全频道今日提醒您注意:在今日的病毒中“隐形贼”变种b、“QQ大盗”变种cvv、“辅佐bhp”和“盗窃者变种aprb”变种都值得关注。
一、今日高危病毒简介及中毒现象描述:
“隐形贼”变种b是“隐形贼”木马家族中的最新成员之一,采用“VC++”编写,并且经过加壳保护处理。“隐形贼”变种b运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,并重新命名为“hotss.exe”,文件属性设置为:系统、隐藏、存档。在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目录下分别释放病毒组件“hotss.dll”和“hotss.sys”。修改注册表,实现木马开机自动运行。“隐形贼”变种b运行时,会将恶意可执行代码注入到系统“lsass.exe”进程中调用运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被安全软件查杀。利用高级的Rootkit技术(内核级的钩子“SSDT HOOK”与“FSD HOOK”)隐藏病毒进程、病毒文件、病毒在注册表中的启动项等特征信息,防止被用户和安全软件发现、查杀。在被感染计算机系统的后台连接骇客指定的远程服务器站点,获取远程控制端真实地址,然后侦听骇客指令,从而使骇客达到远程控制的目的。“隐形贼”变种b还具有远程监视、控制等功能,它可以对文件进行任意操作、监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可能会窃取用户计算机中存放的机密信息,修改或删除这些机密资料,给用户的计算机安全和个人隐私带来严重的威胁,甚至对商业机密造成无法挽回的损失。用户计算机一旦感染了“隐形贼”变种b便会变成网络僵尸傀儡主机,骇客便会利用被感染的计算机对任意重要服务器站点进行DDoS攻击和洪水攻击等。
“QQ大盗”变种cvv是“QQ大盗”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被安全软件查杀。在被感染计算机系统的后台连接骇客指定的远程服务器站点,获取配置文件(加密),然后根据该文件中的设置执行相应的恶意操作。修改注册表,实现木马开机自动运行。“QQ大盗”变种cvv是一个专门盗取“QQ网络游戏”会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来不同程度的损失。另外,“QQ大盗”变种cvv还可以自升级。
“辅佐bhp”(Trojan-Dropper.Win32.Small.bhp)该病毒属木马类程序,病毒运行后,复制自身到%System32%目录下,更名为
sechost.exe,并在该目录下衍生cifmon.exe、discard.ini、kavshell.sys、ssdt.sys、sechos.texe;
修改注册表, 使userinit.exe和sechost.exe一起启动,将%System32%\sechost.exe添加到卡巴斯基杀病毒软件的信任区域,加载驱动kavshell.sys 、ssdt.sys窃取计算机密码和个人信息,病毒运行完后删除自身。
“盗窃者变种aprb”(Trojan-PSW.Win32.OnLineGames.aprb)该病毒为盗窃网络游戏“彩虹岛”账号的木马。病毒运行后,复制自身、衍生含有隐藏属性的病毒文件bndfxdh.cfg、bndfxdh.dll、ghjsw.dll、zxdtye.dll到%WinDir%下,其中bndfxdh.dll、ghjsw.dll、zxdtye.dll的修改时间被设置为系统初装日期。添加启动项,以达到当任意用户启动系统时运行该病毒文件。病毒试图通过全局挂钩把bndfxdh.dll注入到所有进程中,通过给当前系统内执行的进程拍快照,然后遍历快照中记录的进程列表,来判断是否存在AVP.exe进程,存在便修改系统时间为2003年,月、日不变,以使卡巴斯基过期失效;如果发现LaTaleClient.exe进程,便结束其进程,当用户再次登陆时,通过读取server.dat来获得用户所在服务器相关信息,通过截获当前用户的键盘和鼠标消息以获取网络游戏“彩虹岛”的账号及密码,发送到病毒作者指定的URL。该病毒在实现完自身代码后,便会结束自身进程,删除自身文件。
二、针对以上病毒,比特网安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民的病毒库均已更新,并能查杀上述病毒。感谢江民科技、安天实验室为比特网安全频道提供病毒信息。责任编辑:于捷
