当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 江民6月9日病毒播报:“杀人魔”木马

安全基础
用net start 可以启动肉鸡的命令(2)
用net start 可以启动肉鸡的命令(3)
用net start 可以启动肉鸡的命令(4)
DDOS攻击 如何判断是否遭到流量攻击
网络防“虫”手段和全局安全网络的应用
个人网络安全防卫手册(1)
个人网络安全防卫手册(2)
个人网络安全防卫手册(3)
个人网络安全防卫手册(4)
个人网络安全防卫手册(5)
个人网络安全防卫手册(6)
一位高手整理的IIS FAQ
使用Exchange 2003防御地址欺骗(1)
使用Exchange 2003防御地址欺骗(2)
RAdmin 服务端高级配置(1)
只防病毒不安全 网络还需防什么(1)
只防病毒不安全 网络还需防什么(2)
主动防御电脑病毒并非天方夜谭
用XPSP2防火墙打造最强护身甲(1)
用XPSP2防火墙打造最强护身甲(2)

安全基础 中的 江民6月9日病毒播报:“杀人魔”木马


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 100 ::
收藏到网摘: n/a

江民今日提醒您注意:在今天的病毒中Trojan/AntiAV.oo“系统杀手”变种oo和Trojan/Kilva.bp“杀人魔”变种bp值得关注。

英文名称:Trojan/AntiAV.oo

中文名称:“系统杀手”变种oo

病毒长度:41606字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:6e8173833a3079c0b0a5378aafa304f5

特征描述:

Trojan/AntiAV.oo“系统杀手”变种oo是“系统杀手”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“系统杀手”变种oo运行后,会在被感染计算机系统的“%SystemRoot%\”目录下释放恶意程序“*_xeex.exe”,在“%SystemRoot%\system32\”目录下释放恶意DLL组件“killdll.dll”,并自我复制到该目录下,重新命名为“scvhost.exe”。同时,还会在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“pcidump.sys”、“aec.sys”和“AsyncMac.sys”。在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件便会尝试将其结束。篡改注册表,关闭某些安全软件的监控功能,还会删除一些安全软件的服务以及注册表启动项,致使用户的系统失去保护。“系统杀手”变种oo还会利用其释放的恶意驱动程序关闭安全软件的自保护功能,从而终止其进程。同时还会通过文件映像劫持功能,使得大量的安全软件无法正常启动运行,从而达到了自我保护的目的。“系统杀手”变种oo会利用Rootkit技术来隐藏自我的痕迹,从而防止被计算机用户轻易地发现和查杀。“系统杀手”变种oo运行时,会在被感染系统的后台连接骇客指定的远程服务器站点“http://wxg.3eh*.com/”,获取恶意程序下载列表“fz.txt”,然后在被感染计算机上下载大量恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“系统杀手”变种oo还会连接骇客指定的URL“http://count.y**e.com/count/get.asp”以反馈被感染计算机的相关信息。同时,“系统杀手”变种oo还具有自我更新的功能,以此更好地躲避了安全软件的围剿。另外,“系统杀手”变种oo第一次运行时会通过在被感染系统注册表启动项中添加键值“RsTray”的方式实现木马的开机自动运行,之后则会通过替换系统文件“userinit.exe”来实现开机自启。

英文名称:Trojan/Kilva.bp

中文名称:“杀人魔”变种bp

病毒长度:14736字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:285c466f7a727eb472b0d7b256a521e1

特征描述:

Trojan/Kilva.bp“杀人魔”变种bp是“杀人魔”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“杀人魔”变种bp运行后,如果发现自身位于被感染计算机系统的“%SystemRoot%\fonts”目录下,则会在该目录下释放加壳的恶意DLL文件“system32.dll”(文件属性设置为“系统、隐藏”);如果发现自身名为“userinit.EXE”,则会调用“system32.dll”进行恶意操作,同时还会启动桌面进程以使用户登陆系统。否则,便会自我复制到“%SystemRoot%\fonts”目录下,重新命名为“system32.exe”。“杀人魔”变种bp会在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在便会尝试将其结束。篡改系统时间,致使某些安全软件的授权失效从而无法正常启动监控,以此实现了自我保护的目的。“杀人魔”变种bp运行时,如果判断系统日期为某个指定的日期之前,则会在被感染系统的后台连接骇客指定的远程服务器站点“http://y*geiwofc.cn/”,下载大量指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。

针对以上病毒,江民反病毒中心建议广大电脑用户:

1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。

3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描,有效清除“壳病毒”。

4、开启江民杀毒软件的系统监控功能,该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理,有效地遏制了未知病毒对系统所造成的干扰和破坏,更大程度的提高了计算机对于未知病毒的防范能力。

5、江民防马墙,能够第一时间发现和阻止带有木马病毒的恶意网页,可以自动搜集恶意网址并加入特征库,阻止了网页木马的传播,有效地保障了用户的上网安全。

6、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。

7、江民杀毒软件新增强大的启发式扫描,能够启发扫描90%以上的未知病毒。

8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://pay.jiangmin.com/online/jiangmin/kvkillonline.aspx

有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站http://www.jiangmin.com进行在线查阅。