警惕无极杀手感染网页

时间:2009-12-07 01:26:39  来源:JSP空间站  作者:www.jspkj.net
一、今日高危病毒简介及中毒现象描述:

  Worm/Piloyd.b“无极杀手”变种b是“无极杀手”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“无极杀手”变种b运行后,会替换系统文件“%SystemRoot%\system32\qmgr.dll”(BITS后台智能传输服务所对应的文件),以此实现开机自启。同时通过批处理将自我复制为“%SystemRoot%\system32\dllcache\lsasvc.dll”,然后原病毒程序会将自我删除,从而消除痕迹。“无极杀手”变种b运行时,会试图关闭大量安全软件的相关进程,并利用注册表映像文件劫持干扰这些程序的正常启动运行。如果其发现系统中运行着特定的安全软件,便会释放恶意驱动程序“%SystemRoot%\system32\drivers\LiTdi.sys”,用以结束安全软件的自我保护。通过自带的弱口令列表尝试对网上邻居进行口令猜解,被成功猜解的系统将会被其感染。“无极杀手”变种b会在可移动存储设备的根目录下创建“recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe”和“autorun.inf”,以此实现通过移动存储设备进行传播的目的。感染计算机中存储的“exe”、“htm”、“html”、“asp”、“aspx”和“rar”格式文件(在网页格式文件中插入挂马脚本“http://mm.aa8856*.cn/index/mm.js”),致使系统用户面临被多次感染的风险。连接骇客指定的站点“http://bbnn7*.114central.com”,下载大量恶意程序并调用运行,从而给用户造成更多的威胁。另外,其会访问骇客指定的页面“http://nbtj.114anhu*.com/msn/163.htm”,以此对被感染系统进行统计。

  Trojan/PSW.QQPass.xof“QQ大盗”变种xof是“QQ大盗”家族中的最新成员之一,采用“Borland C++”编写,经过加壳保护处理。“QQ大盗”变种xof运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“*.dat”(文件名为随机8个字母),同时会复制为“vnd.dll”。还会复制系统DLL文件“advapi32.dll”和“kernel32.dll”为“nfv.dll”和“zrh.dll”。“QQ大盗”变种xof会将恶意DLL文件插入到“explorer.exe”进程中并安装消息钩子。连接骇客指定的页面“http://s1d4.s*b6v5.com/f.asp”等进行其它恶意程序的下载等,由此可能会给用户造成更大的损失。另外,“QQ大盗”变种xof会在被感染系统注册表启动项的“ShellServiceObjectDelayLoad”键下添加键值“asi”,以此实现其释放的恶意文件的开机自启。

  二、针对以上病毒,安全频道建议广大用户:

  1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

  2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。

  3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。

上一篇文章:网站备案紧急通知
下一篇文章:停止个人用户cn域名注册