2月第4周安天报告:蠕虫死磕卡巴斯基主动防御

安全
检测进程中是否有avp.exe进程,如果有,修改系统时间为2004年1月1日9时1分,使卡巴主动防御过期失效,且每4000ms重新设置一次时间;修改当前进程的令牌权限,复制%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.ext。

【51CTO.com 独家特稿】从图看出Worm.Win32.Otwycal.g家族继续占据本周流行的病毒***位。该病毒属蠕虫类,病毒运行后判断进程列表中是否存在smss.exe进程,若不存在程序退出模块;判断程序是否为%DriveLetter%\MSDOS.bat,若是用资源管理器打开该驱动器后返回;删除文件%Windir%\Tasks\0x01xx8p.exe后,将自身移动到该位置,并更改为该文件名。

图1

检测进程中是否有avp.exe进程,如果有,修改系统时间为2004年1月1日9时1分,使卡巴主动防御过期失效,且每4000ms重新设置一次时间;修改当前进程的令牌权限,复制%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.ext。

修改%Windir%\Tasks\poolsv.ext,将***一个节(.rsrc)节名改为.wycao,并在该节尾部写入病毒代码,复制%System32%\spoolsv.exe到%System32%\dllcache\spoolsv.exe,移动%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.brk移动修改后的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe,移动成功后退出,否则删除文件%System32%\spoolsv.exe;移动修改后的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe。

重点关注:

Trojan/Win32.Magania.gen [Stealer] 该病毒为诛仙游戏盗号木马,病毒运行后,遍历进程查找my.exe,判断%System32%目录下是否存在hbzhuxian.dll文件,如存在则删除DLL文件,若不存在则创建病毒互斥量"HBInjectMutex",创建病毒文件System.exe、HBZHUXIAN.dll到%System32%目录下,调用API函数将%System32%目录下的System.exe病毒文件创建进程,查找类名为“AskTao”的窗体。

找到后则向该窗体发送消息,试图将病毒DLL注入到所有进程中,打开注册表设置360安全卫士项、将安全性降低,删除360安全卫士注册表启动项,添加注册表启动项、释放BAT批处理文件到%Temp%目录下,病毒运行完毕后使用批处理文件删除自身。

病毒DLL文件行为:判断自身进程是否注入到elementclient.exe进程中,如果是则创建一个线程,通过查找窗体类名为"Shell_TrayWnd"来定位Explorer进程,然后将下载代码注入该进程中,通过全局钩子截取诛仙游戏账号及密码,通过URL发送到作者指定的地址中。

专家建议:

1.在任务管理器中查看是否有陌生以及可疑的进程存在。
2.安装安天防线反病毒软件。
3.及时打全系统补丁。 
4.及时关注各种应用软件的漏洞并及时更新到应用软件的***版本。 
5.在需要输入游戏账号信息时,打开安天防线反病毒软件的实时监控功能。
6.注意经常更新安天防线反病毒软件的病毒库来阻止被病毒感染。

手动查杀方法:

针对以上病毒,其病毒变种非常之多。其应用技术各不相同所以没有一个固定的手动查杀方法, 只能告诉用户一些基本的杀毒方法,针对微软XP用户:

1.断开网络连接,进行以下操作。
2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。
3.查看是否有陌生程序的启动项,有则找到对应位置,使用安天防线反病毒软件查杀或手动删除。
4.打开“文件夹选项”中的查看隐藏文件等选项,这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改,解决办法使用安天防线反病毒软件扫描或者手动修改。
5.对于使用移动设备时,请先用右键点击查看,是否有“自动运行”项,如有,在使用前用安天防线反病毒软件扫描。

下周病毒预测:

从本周的趋势观察,及据安天实验室捕获统计, Worm.Win32.Otwycal.g占据本周排行首位,木马在排行榜中的位置有所上升,提醒游戏玩家应留意该类病毒的侵袭,注意保护个人账号密码密保卡等信息。

专家预防建议:

1.建立良好的安全习惯,不打开可疑邮件和可疑网站。 
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 
3.使用移动介质时***使用鼠标右键打开使用,必要时先要进行扫描。 
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 
5.安装专业的防毒软件升级到***版本,并开启实时监控功能。 
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,***是数字与字母组合的密码。 
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
8.下载软件后应用使用安天防线反病毒软件进行查杀,然后进行使用。

【相关文章】

责任编辑:王文文 来源: 51CTO.com
相关推荐

2009-06-01 14:17:12

2009-06-29 10:44:54

2009-02-02 13:29:41

2009-02-24 10:06:25

2009-02-16 18:33:25

2009-02-16 18:48:26

2009-04-04 11:34:20

2009-07-21 09:03:58

2009-05-12 09:32:43

2009-04-07 12:49:43

2013-07-16 19:19:32

2009-07-06 14:00:23

2009-02-24 11:23:12

2021-04-23 16:53:21

卡巴斯基DDoS攻击趋势报告

2009-02-02 18:48:14

2009-05-04 13:53:41

2009-09-15 16:56:36

2009-09-08 21:26:17

2009-04-15 11:00:05

2009-06-23 13:21:16

点赞
收藏

51CTO技术栈公众号