51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

2月第4周安天报告:蠕虫死磕卡巴斯基主动防御

作者:安天实验室
安全
检测进程中是否有avp.exe进程,如果有,修改系统时间为2004年1月1日9时1分,使卡巴主动防御过期失效,且每4000ms重新设置一次时间;修改当前进程的令牌权限,复制%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.ext。

【51CTO.com 独家特稿】从图看出Worm.Win32.Otwycal.g家族继续占据本周流行的病毒***位。该病毒属蠕虫类,病毒运行后判断进程列表中是否存在smss.exe进程,若不存在程序退出模块;判断程序是否为%DriveLetter%\MSDOS.bat,若是用资源管理器打开该驱动器后返回;删除文件%Windir%\Tasks\0x01xx8p.exe后,将自身移动到该位置,并更改为该文件名。

图1

检测进程中是否有avp.exe进程,如果有,修改系统时间为2004年1月1日9时1分,使卡巴主动防御过期失效,且每4000ms重新设置一次时间;修改当前进程的令牌权限,复制%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.ext。

修改%Windir%\Tasks\poolsv.ext,将***一个节(.rsrc)节名改为.wycao,并在该节尾部写入病毒代码,复制%System32%\spoolsv.exe到%System32%\dllcache\spoolsv.exe,移动%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.brk移动修改后的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe,移动成功后退出,否则删除文件%System32%\spoolsv.exe;移动修改后的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe。

重点关注:

Trojan/Win32.Magania.gen [Stealer] 该病毒为诛仙游戏盗号木马,病毒运行后,遍历进程查找my.exe,判断%System32%目录下是否存在hbzhuxian.dll文件,如存在则删除DLL文件,若不存在则创建病毒互斥量"HBInjectMutex",创建病毒文件System.exe、HBZHUXIAN.dll到%System32%目录下,调用API函数将%System32%目录下的System.exe病毒文件创建进程,查找类名为“AskTao”的窗体。

找到后则向该窗体发送消息,试图将病毒DLL注入到所有进程中,打开注册表设置360安全卫士项、将安全性降低,删除360安全卫士注册表启动项,添加注册表启动项、释放BAT批处理文件到%Temp%目录下,病毒运行完毕后使用批处理文件删除自身。

病毒DLL文件行为:判断自身进程是否注入到elementclient.exe进程中,如果是则创建一个线程,通过查找窗体类名为"Shell_TrayWnd"来定位Explorer进程,然后将下载代码注入该进程中,通过全局钩子截取诛仙游戏账号及密码,通过URL发送到作者指定的地址中。

专家建议:

1.在任务管理器中查看是否有陌生以及可疑的进程存在。
2.安装安天防线反病毒软件。
3.及时打全系统补丁。 
4.及时关注各种应用软件的漏洞并及时更新到应用软件的***版本。 
5.在需要输入游戏账号信息时,打开安天防线反病毒软件的实时监控功能。
6.注意经常更新安天防线反病毒软件的病毒库来阻止被病毒感染。

手动查杀方法:

针对以上病毒,其病毒变种非常之多。其应用技术各不相同所以没有一个固定的手动查杀方法, 只能告诉用户一些基本的杀毒方法,针对微软XP用户:

1.断开网络连接,进行以下操作。
2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。
3.查看是否有陌生程序的启动项,有则找到对应位置,使用安天防线反病毒软件查杀或手动删除。
4.打开“文件夹选项”中的查看隐藏文件等选项,这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改,解决办法使用安天防线反病毒软件扫描或者手动修改。
5.对于使用移动设备时,请先用右键点击查看,是否有“自动运行”项,如有,在使用前用安天防线反病毒软件扫描。

下周病毒预测:

从本周的趋势观察,及据安天实验室捕获统计, Worm.Win32.Otwycal.g占据本周排行首位,木马在排行榜中的位置有所上升,提醒游戏玩家应留意该类病毒的侵袭,注意保护个人账号密码密保卡等信息。

专家预防建议:

1.建立良好的安全习惯,不打开可疑邮件和可疑网站。 
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 
3.使用移动介质时***使用鼠标右键打开使用,必要时先要进行扫描。 
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 
5.安装专业的防毒软件升级到***版本,并开启实时监控功能。 
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,***是数字与字母组合的密码。 
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
8.下载软件后应用使用安天防线反病毒软件进行查杀,然后进行使用。

【相关文章】

责任编辑:王文文 来源: 51CTO.com
Worm盗号病毒
相关推荐
54病毒报告:加密蠕虫很暴力
本周木马类病毒占据了主要的位置,该类病毒主要是窃取用户的隐私信息,可以通过网页挂马进行传播。提醒用户注意保护个人账号密码密保卡等信息。

2009-06-01 14:17:12

卡巴斯基22病毒报告:新蠕虫感染后可自爆消失
卡巴斯基提醒您在本周应格外注意:“蠕虫下载者”病毒。此病毒利用UPX加壳技术保护自己。用户的计算机一旦被“蠕虫下载者”病毒感染会立即在被感染的计算机的系统目录中创建动态链接库文件,并将此文件嵌入到系统进程中,同时它还会自动从指定载有病毒的网站中下载最新的病毒变种到被感染的计算机中。“

2009-02-02 13:29:41

64报告:加密蠕虫排第一
本周以具有盗号能力的木马和下载能力的下载者为主,它们可以窃取用户的网游账号密码信息也可以获取用户的网银信息同时还可以下载大量的其他类别的病毒,请用户及时升级病毒库,预防此类病毒的侵袭。

2009-06-29 10:44:54

卡巴斯基24病毒播报:通天大盗偷天换日
“通天大盗”病毒。此病毒利用UPX加壳技术保护自己,并在运行后会立即搜索系统中安全类软件进程。“通天大盗”病毒有相当全面的安全类软件进程的详细列表,它利用这个列表与被感染系统中的进程进行对比。在找到列表中存在的进程后利用KILL命令关闭所有查找到的安全类软件。

2009-02-24 10:06:25

卡巴斯基中国区23病毒报告:QQ游戏杀手猖獗
此病毒利用UPX加壳技术保护自己。它主要通过在网页“挂马”的方式进行病毒传播。用户的计算机一旦被“QQ游戏杀手”病毒感染,它将在被感染计算机中释放一个随机字符的动态链接库和一个名为“tmp”的文件到计算机的系统目录中,同时该病毒还会将病毒嵌入到被感染计算机的桌面进程中。

2009-02-16 18:33:25

中国区22病毒报告:木马继续沙发蠕虫保持第一
TrojanWin32.Agent.acfe[Dropper]该病毒为热血传奇盗号木马,病毒运行后,遍历进程查找“alien32.exe”,如找到则强行结束该进程,拷贝自身文件到%system32%目录下,重命名为:alien32.exe,获取NTDLL.DLL文件时间,将衍生的病毒文件创建时间设置为获取的NTDLL.DLL文件的时间,调用API函数创建%system32%目录下病毒进程,病毒运行完后删除自身。

2009-02-16 18:48:26

73病毒报告:蠕虫嚣张更改桌面壁纸
从本周的趋势观察,及据安天实验室捕获统计,具有盗取能力的木马类和感染能力的病毒和蠕虫总体都有所上升,同时病毒类和蠕虫类也会伴有窃取用户信息的能力,提醒广大用户注意个人信息的保密,同时请用户及时升级病毒库,预防此类病毒侵袭。

2009-07-21 09:03:58

41要闻回顾:Nehalem正式发布 卡巴斯基中国行
上周的最大热点当然是英特尔Nehalme架构的正式发布,这个全新的处理器架构平台,将在今后的几年中逐步渗透和影响服务器平台。当然对广大读者来说,上周印象最深的可能还是4月1日假消息的肆意妄为给大家带来的恶作剧的快乐。不过并非愚人节的新闻是,病毒和木马披着恶搞的外衣频频出击,给全世界范围内的PC用户带来威胁。

2009-04-04 11:34:20

2病毒报告:AutoIt病毒极度嚣张
从本周的趋势观察,及据安天实验室捕获统计,具有盗取能力的木马类和感染能力的病毒和蠕虫总体都有所上升,同时病毒类和蠕虫类也会伴有窃取用户信息的能力,提醒广大用户注意个人信息的保密,同时请用户及时升级病毒库,预防此类病毒侵袭。

2009-05-12 09:32:43

41病毒报告:病毒修改360保险箱
安天实验室中国地区2009年3月30日到4月5日病毒报告。

2009-04-07 12:49:43

卡巴斯基发布5垃圾邮件报告
根据卡巴斯基的相关数据,5月电子邮件总量中的垃圾邮件比例下降了2.5个百分点,平均占全部邮件总量的69.7%,但钓鱼邮件的比例同4月相比有小幅上升。而包含恶意附件的邮件比例为2.8%,同上月相比,增长了0.4个百分点。

2013-07-16 19:19:32

卡巴斯基:2020 Q4 DDoS攻击趋势报告
第四季度仍处于2020年趋势的参数范围内。网络犯罪分子使用知名的APT团体的名称来恐吓受害者,要求以加密货币勒索赎金,并进行示威攻击以支持其威胁。

2021-04-23 16:53:21

卡巴斯基DDoS攻击趋势报告
71报告:MPEG-2漏洞厉害本周木马增多
从本周的趋势观察,及据安天实验室捕获统计,本周木马类病毒有所增多,该类病毒主要目的是窃取用户账号密码信息,提醒用户注意保护个人账号密码等信息。

2009-07-06 14:00:23

实验室23病毒报告:盗号木马趋势继续走高
病毒DLL文件行为:判断自身进程是否注入到elementclient.exe进程中,如果是则创建一个线程,通过查找窗体类名为"ShellTrayWnd"来定位Explorer进程,然后将下载代码注入该进程中,通过全局钩子截取诛仙游戏账号及密码,通过URL发送到作者指定的地址中

2009-02-24 11:23:12

实验室09年15病毒周报:蠕虫火拼杀软
如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭,衍生病毒文件lz090111.exe、lz32dla.dll到%System%目录下,修改注册表项使设置显示隐藏文件失效,添加注册表启动项,并在%DocumentsandSettings%\AllUsers\目录下创建配置文件lzdf16.ini存放衍生的病毒路径。

2009-02-02 18:48:14

冠群金辰91报告:Rimecud蠕虫爱折腾
本周总体病毒情况依然保持相对平稳的状态,未出现严重危害的病毒事件。在捕获病毒数量及种类上与前一周相比有所上升。病毒数量上升较多的是win32gamepass家族的变体及一些病毒下载器程序。用户及时升级反病毒库即可处理。

2009-09-15 16:56:36

冠群金辰91报告:蠕虫用电驴p2p传输
本周总体病毒情况依然保持相对平稳的状态,未出现严重危害的病毒事件。在病毒数量及种类上与前一周相比略有下降。

2009-09-08 21:26:17

实验室51报告:ChineseHacker再度归来
从本周的趋势观察,及据安天实验室捕获统计,具有感染能力的病毒占据了整个病毒的排行榜,如今正当五一之际,提醒游戏玩家注意保护个人账号密码密保卡等信息,及时升级病毒库,防止个人账号密码被盗事件的发生。

2009-05-04 13:53:41

冠群金辰42报告:盗号木马无新意
本周数量较多较常见的前几位病毒仍然是针对网络游戏的盗号木马病毒。被病毒利用较多的漏洞主要是:MS09002、MS08067系统漏洞、SinaUC漏洞、Realplayer漏洞、adobeflash漏洞。

2009-04-15 11:00:05

实验室63报告:剑侠世界木马流行
从本周整体排行榜看出木马类病毒占据了排行榜的大部分位置,该类病毒具有偷取用户信息和下载其他病毒的能力,请用户及时升级病毒库,预防此类变种侵袭。

2009-06-23 13:21:16

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服