一、明日高危病毒简介及中毒现象描述:
◆ “小不点”变种chj:它是“小不点”木马释放器家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“小不点”变种chj运行后,自我复制到被感染计算机系统的“%SystemRoot%system32”目录下,重命名为“sichost.exe”,在同一目录下释放病毒文件“sovlost.exe”。修改注册表,实现木马开机自动运行。
在“%SystemRoot%system32”目录下释放恶意驱动程序“Nessery.sys”、“ssdtti.sys”,并自动加载运行,恶意驱动程序可以还原系统SSDT,致使某些安全软件的监控功能失效。启动“iexplore.exe”进程,并将恶意代码注入其中运行,这样可以隐藏病毒程序,躲避安全软件的查杀。查找并强行关闭某些安全软件,极大地降低了被感染计算机系统的安全性。
访问骇客指定的网站,增加某些网站的访问量,为骇客带来经济利益。监视被感染计算机中的QQ聊天窗口,利用QQ发送恶意信息或带毒链接。一旦用户的好友点击该带毒链接,用户好友的计算机便会感染该木马。另外,“小不点”变种chj还能连接骇客指定的服务器站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
◆ “玛格尼亚”变种kgz:它是“玛格尼亚”木马家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“玛格尼亚”变种kgz运行后,在被感染计算机系统“%SystemRoot%help”目录下释放木马组件文件“EB6C4499B05F.dll”。修改注册表,实现木马开机自动运行。将木马组件插入到所有用户进程中加载运行,隐藏自身,防止被查杀。
采用HOOK技术和内存截取技术,在被感染计算机的后台秘密监视用户的键盘和鼠标操作,盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏账号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息,并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上,造成玩家的游戏账号、装备物品、金钱等丢失。
另外,“玛格尼亚”变种kgz还会在被感染计算机上下载更多的恶意软件、网游木马等,给网络游戏玩家带来非常大的损失。
◆“U盘寄生虫”变种qe:它是“U盘寄生虫”蠕虫家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“U盘寄生虫”变种qe运行后,自我复制到被感染计算机系统的“%SystemRoot%system”目录下,重命名为“wuauclt.exe”。
在“%SystemRoot%system32drivers”目录下释放恶意驱动文件,覆盖系统文件“beep.sys”并加载运行。驱动文件可还原系统“SSDT”,致使某些安全软件的防御功能、监控功能失效,从而达到躲避监控的目的。自我添加为启动项,实现蠕虫开机自动运行。强行篡改注册表,禁止用户进入安全模式。通过映像劫持功能禁止大量安全软件的运行,极大地降低了被感染计算机系统的安全性。
在后台连接骇客指定的服务器站点,下载大量恶意程序并自动调用运行,给用户带来一定程度的危害。在被感染计算机硬盘的各盘符根目录下以及移动存储设备根目录下创建“autorun.inf”文件和蠕虫主程序文件“SVS.PIF”(文件属性为“系统、隐藏”),实现双击盘符启动“U盘寄生虫”变种qe的目的,从而利用U盘、移动硬盘等进行自我传播。另外,“U盘寄生虫”变种qe还具有自我删除的功能,以便消除痕迹。
◆“地穴”变种iz:它是“地穴”木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“地穴”变种iz运行后,在被感染计算机系统的“%SystemRoot%system32”目录下释放恶意程序“tavo.exe”。通过添加启动项,实现木马开机自启动。
在“%SystemRoot%system32”目录下释放木马组件“tavo0.dll”,并将其插入到所有用户级权限的进程中加载运行,隐藏自我,防止被查杀。循环检测窗口标题,一旦发现与安全相关的字符串便强行将相应窗口关闭。在进程列表中查找数十种安全软件以及安全辅助工具,一旦发现便强行将其关闭,极大地降低了被感染计算机上的安全性。
在后台秘密窃取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。
◆“摩登王”变种bcg:它是“摩登王”木马家族的最新成员之一,采用高级语言编写,未经过添加保护壳处理。“摩登王”变种bcg是由某个木马程序释放出来的DLL木马组件,文件名由8位随机字母组成,一般被注册为浏览器辅助插件(BHO),实现木马开机自动运行。“摩登王”变种bcg运行于“explorer.exe”进程以及“iexplore.exe”进程内部,以此隐藏自身,躲避查杀。
通过提升自身权限、强行篡改注册表键值等方法查找并强行关闭大量流行的安全软件、浏览器辅助安全插件等,并且可能会卸载某些安全软件,极大的降低了被感染计算机系统的安全性。不定时弹出广告窗口,影响用户正常使用计算机。在后台秘密收集被感染计算机的系统信息并发送到骇客指定的服务器上。
连接骇客指定站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。另外,“摩登王”变种bcg最后会自我删除,消除痕迹。
◆“BHO劫持者”变种cic:它是“BHO劫持者”木马家族的最新成员之一,采用VC++编写,并经过添加保护壳处理。“BHO劫持者”变种cic是由某个木马程序释放出来的组件,一般被注册为浏览器辅助插件(BHO),实现木马随系统浏览器的启动而加载运行。
“BHO劫持者”变种cic运行于“explorer.exe”进程以及“iexplore.exe”进程内部,隐藏自身,躲避安全软件的查杀。“BHO劫持者”变种cic运行后,在后台秘密监视用户的操作,当用户使用IE浏览器访问网站时可能会自动弹出网页窗口,干扰用户正常使用计算机。伪装成某安全软件的更新程序,显示“升级程序正在下载文件”的虚假窗口(实际上是连接到骇客指定站点,下载恶意程序并在被感染计算机上自动调用运行)。
其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。另外,“BHO劫持者”变种cic还能够自升级。
◆“昊阗chm”:该病毒为间谍类木马,病毒运行后查找CabinetWClass类名的窗口,找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并且在该窗口捕获消息,获取进程句柄修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭,遍历进程查找avp.exe,找到该进程后将系统时间设置为1987年。
在%System32%目录下建立文件夹inf并拷贝%System32%目录下的rundll32.exe到inf目录下重命名为svchost.exe,衍生病毒文件wftadfi16_080908a.dll、dcbdcatys32_080908a.dll(该病毒文件为查找雅虎和IE保护选项的窗口,并按提示做出相对的回应)到%Windir%目录下,衍生病毒文件sppdcrs080908.scr(该文件为病毒自身)、scsys16_080908.dll(该文件模拟鼠标点击操作以达到躲避病毒安全软件的主动提示,模拟点击操作为允许)到%System32%inf目录下,添加注册表启动项目使用rundll32.exe加载病毒DLL文件,并在%Windir%目录下创建配置文件tawisys.ini存放衍生的病毒路径,衍生mywfhit.ini到System32目录下mywfhit.ini文件记录病毒更新情况,病毒会不定期开启iexploe.exe连接网络下载病毒文件更新自身。
◆“木马下载者”:该病毒为下载者木马,病毒运行后创建互斥量MICK_DOWNLOAD_MUTEX,目的防止多次运行,在%Windir%下创建目录名为:Nt_File_Temp,并释放BAT批处理文件执行,提升在%system32%dllcache文件夹、%system32%dllcacheexplorer.exe、E:NBMSClientHardwareInfo.exe(网维大师相关程序)、%Windir%explorer.exe文件到系统当前用户完全控制权限,连接网络读取列表下载大量恶意文件,下载的文件多数为盗号木马类病毒,给用户清理带来非常大的不便。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民和安天实验室的病毒库均已更新,并能查杀上述病毒。
标签: 木马