当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 江民6月9日病毒播报:“杀人魔”木马

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 江民6月9日病毒播报:“杀人魔”木马


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 35 ::
收藏到网摘: n/a

江民今日提醒您注意:在今天的病毒中Trojan/AntiAV.oo“系统杀手”变种oo和Trojan/Kilva.bp“杀人魔”变种bp值得关注。

英文名称:Trojan/AntiAV.oo

中文名称:“系统杀手”变种oo

病毒长度:41606字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:6e8173833a3079c0b0a5378aafa304f5

特征描述:

Trojan/AntiAV.oo“系统杀手”变种oo是“系统杀手”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“系统杀手”变种oo运行后,会在被感染计算机系统的“%SystemRoot%\”目录下释放恶意程序“*_xeex.exe”,在“%SystemRoot%\system32\”目录下释放恶意DLL组件“killdll.dll”,并自我复制到该目录下,重新命名为“scvhost.exe”。同时,还会在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“pcidump.sys”、“aec.sys”和“AsyncMac.sys”。在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件便会尝试将其结束。篡改注册表,关闭某些安全软件的监控功能,还会删除一些安全软件的服务以及注册表启动项,致使用户的系统失去保护。“系统杀手”变种oo还会利用其释放的恶意驱动程序关闭安全软件的自保护功能,从而终止其进程。同时还会通过文件映像劫持功能,使得大量的安全软件无法正常启动运行,从而达到了自我保护的目的。“系统杀手”变种oo会利用Rootkit技术来隐藏自我的痕迹,从而防止被计算机用户轻易地发现和查杀。“系统杀手”变种oo运行时,会在被感染系统的后台连接骇客指定的远程服务器站点“http://wxg.3eh*.com/”,获取恶意程序下载列表“fz.txt”,然后在被感染计算机上下载大量恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“系统杀手”变种oo还会连接骇客指定的URL“http://count.y**e.com/count/get.asp”以反馈被感染计算机的相关信息。同时,“系统杀手”变种oo还具有自我更新的功能,以此更好地躲避了安全软件的围剿。另外,“系统杀手”变种oo第一次运行时会通过在被感染系统注册表启动项中添加键值“RsTray”的方式实现木马的开机自动运行,之后则会通过替换系统文件“userinit.exe”来实现开机自启。

英文名称:Trojan/Kilva.bp

中文名称:“杀人魔”变种bp

病毒长度:14736字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:285c466f7a727eb472b0d7b256a521e1

特征描述:

Trojan/Kilva.bp“杀人魔”变种bp是“杀人魔”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“杀人魔”变种bp运行后,如果发现自身位于被感染计算机系统的“%SystemRoot%\fonts”目录下,则会在该目录下释放加壳的恶意DLL文件“system32.dll”(文件属性设置为“系统、隐藏”);如果发现自身名为“userinit.EXE”,则会调用“system32.dll”进行恶意操作,同时还会启动桌面进程以使用户登陆系统。否则,便会自我复制到“%SystemRoot%\fonts”目录下,重新命名为“system32.exe”。“杀人魔”变种bp会在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在便会尝试将其结束。篡改系统时间,致使某些安全软件的授权失效从而无法正常启动监控,以此实现了自我保护的目的。“杀人魔”变种bp运行时,如果判断系统日期为某个指定的日期之前,则会在被感染系统的后台连接骇客指定的远程服务器站点“http://y*geiwofc.cn/”,下载大量指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。

针对以上病毒,江民反病毒中心建议广大电脑用户:

1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。

3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描,有效清除“壳病毒”。

4、开启江民杀毒软件的系统监控功能,该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理,有效地遏制了未知病毒对系统所造成的干扰和破坏,更大程度的提高了计算机对于未知病毒的防范能力。

5、江民防马墙,能够第一时间发现和阻止带有木马病毒的恶意网页,可以自动搜集恶意网址并加入特征库,阻止了网页木马的传播,有效地保障了用户的上网安全。

6、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。

7、江民杀毒软件新增强大的启发式扫描,能够启发扫描90%以上的未知病毒。

8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://pay.jiangmin.com/online/jiangmin/kvkillonline.aspx

有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站http://www.jiangmin.com进行在线查阅。