曲水白云山人 2008-6-10 03:40
6月8日病毒木马预警
金山毒霸每日病毒预警
%C!H�w!Z�q
-{4`'R(p*j�G�U"G
“Flash特务”(Win32.Troj.SecretAgent.cd.200704),这是个利用FLASH漏洞进行传播的病毒下载器。它进入电脑后会破坏多款国产杀毒软件和
8s3q(l9J:c�[�l9\:`
安全辅助软件的正常运行,然后下载盗号木马到系统中运行。运行完毕后就完全删除自己的全部文件,不留下一点痕迹。�?�h-Q/}!X�K�v
Q�P;K�l.\)E
“键盘记录员变种113156”(Win32.PSWTroj.OnlineGames.113156),这是一个盗号木马程序的变种。它会记录用户通过键盘输入的各种信息,将它们发送给病毒作者指定的远程地址。病毒作者在后期进行一些处理,就可以筛选出其中的帐号和密码。�Q2D3N'`%m
M�_�}"F�^
7@"b�x�Z8h�~'@3I
一、“Flash特务”(Win32.Troj.SecretAgent.cd.200704) 威胁级别:★★�e+E�Y�z/e�T*u
�D�|'T�L�m�]
这个病毒的主文件名为NTDUBECT.Exe,当病毒的原始文件Orz.exe在其它FLASH漏洞下载器的帮助下进入电脑后,NTDUBECT.Exe就会被释放到当前磁盘分区的根目录。它首先会尝试修改系统时间为2000年,以检测当前系统中是否有装有卡巴斯基7.0版,若有,病毒便停止运行。'_+y:k'F8x�y(O
�c;_�E1d5M
如果成功修改了系统时间,就表明用户系统中所安装的卡巴斯基是旧版本,而随着时间的修改,这些版本的卡巴自然也就会瘫痪。当这个步骤顺利完成,或者用户没有安装卡巴,病毒就会修改注册表、禁用系统安全中心和windows 防火墙、禁用系统还原等系统自身的安全模块。*v1i�R6Z4]�v�C
�c(J7}�d)S"`�K.i
接着,病毒利用自己的另一个文件antir.Exe和驱动文件antir.Sys,检测系统中是否有金山毒霸和瑞星的文件。如有,就查询金山毒霸和瑞星主要文件的相关键值,从而得到它们的安装路径,然后释放出与它们主要文件相同名称的文件,进行替换。"k&C�X�u c1K7a�a
�X�m�`'\
z�c�i
I2]
当确信解决掉用户系统中的以上杀毒软件和安全辅助软件,此毒就在系统临时目录%temp%\中释放出文件setup.Exe 并执行。这个文件是一个木马下载器,它会在后台悄悄连接病毒作者指定的远程地址,下载大量盗号木马运行。�w�f.M�q2R$G�@
?*G)h8f�p
下载工作完成,病毒就调用自己的配置信息,恢复原来的时间。并根据配置信息的不同,决定是否对系统中的EXE文件建立映像劫持。最后,无论运行是否成功,病毒都会执行自动删除指令,把自己的原始文件、主文件、驱动文件等完全删除。不留下一点痕迹。
/{8t+^�c,n�T�E!r,s![�M
�\(h�C�d�\9q(r
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 [url]http://vi.duba.net/virus/win32-troj-secretagent-cd-200704-50651.html[/url]9_�F�~6W%N�k�R2b'M a:L�l
&x:i7Q�X2Y
二、“键盘记录员变种113156”(Win32.PSWTroj.OnlineGames.113156) 威胁级别:★
�R�u
U K�j"C-j�d
!m*}�S };c�k L j
这个盗号木马已经不是第一次出现在预警播报中,我们曾多次发出关于该毒的预警。但至今,该毒的变种依然大量出现。虽然毒霸可以彻底将其查杀,但由于此毒变种较多,一些未安装毒霸的电脑用户可能受害,因此再次发出预警。
�t U%E�g5c,W
�m�d�@�U&z;H�n
这个病毒拥有三个病毒文件,分别为%WINDOWS%\system32\目录下的tavo.exe和tavo0.dll,以及系统临时目录%Temp%\下一个随机命名的.dll文件。其中tavo.exe是病毒主文件,它会被加进注册表的启动项,使病毒实现开机自启动。而tavo0.dll则用于在病毒运行起来后注入系统桌面进程Explorer.exe和其它所有的非系统进程当中。"w C�M'p�A:Z�r
4b!U'M;m�N!z%`5h
病毒会监视用户的鼠标,键盘操作,从而获得用户的游戏帐号和密码信息。当然,其它所有的帐号和密码也会被记录。成功获取信息之后,病毒便将信息加密后以邮件的形式通过SMTP和网页收信空间发送给木马作者。之后,它就删除自己的原始文件,试图躲避用户查杀。
�p9H�w)t _�W�_�U6G
�b�y�a.`3O�q1D8[�z�c�j8P
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 [url]http://vi.duba.net/virus/win32-pswtroj-onlinegames-113156-50652.html[/url]�T�r*f�U;l�B"x�h
5v'{�V�O�Z$m
金山反病毒工程师建议�S+l!g�v'P8l#L X�t�X
�j"[�O�Z�{�q�k�]
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
1o�O�G�i7r'R�Q0W
9g:e�J3S.{ ~
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
�V�o*T�o5C(O,h
�`�b&M�m6B�i8e�Z
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年6月7的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录[url]http://www.duba.net[/url]免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
�v2Y*C�p4O�{�G
�q4|�Q�C�_8N5S
江民6月8日病毒播报:谨防霸e族间谍木马病毒 窃取用户在线交易信息/T�W�Z3K�A�l�I
�R�e$i(p&Q(]
江民今日提醒您注意:在今天的病毒中TrojanDownloader.JS.Agent.ho“代理木马”变种ho和TrojanSpy.BZub.bw“霸e族”变种bw值得关注。7y
I.`4O�F�H�P'[�\�\�j*u
#i�@�y*x8l�L7H7p
病毒名称:TrojanDownloader.JS.Agent.ho
F(H�g/U+Z
1[
O2^�F�W�_�p2E�c�N�o
中 文 名:“代理木马”变种ho'H9z
V4P�X7I/m
�f�a�f,P t�y
病毒长度:1285字节
�}�z/m6}�u�S
i
�F�\�P�S8N�q
病毒类型:木马下载器
�p,{�g�D3b�D
g8Q0C1l5W2d5r'e
危险级别:★★%F
}�w+d�];k+r�l
$A�z�S�\&n5E
影响平台:Win 9X/ME/NT/2000/XP/2003
3_�J;j�P�t�B
g�?�{8r�L8g�l
TrojanDownloader.JS.Agent.ho“代理木马”变种ho是“代理木马”木马家族的最新成员之一,采用javascript脚本语言编写,并且经过加密处理,利用微软MS-06014漏洞传播其它病毒。“代理木马”变种ho一般内嵌在正常网页中,如果用户计算机没有及时升级修补相应程序模块的漏洞补丁,那么当用户使用浏览器访问带有“代理木马”变种ho的恶意网页时,就会在当前用户计算机的后台连接骇客指定的远程服务器站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、有害程序、后门等,给用户带来不同程度的损失。�v5G�e�{�})w�A
/Q�j�t:P!`
病毒名称:TrojanSpy.BZub.bw
�v�l4i�f"g�O�i�O�i
�f(^1W L#}'g
中 文 名:“霸e族”变种bw
�[2h�\�a�H&L9b
�o�{"M:N+t�Y�q
病毒长度:70872字节
�B
m.@$a)s6[�c8K�\2^
9r�H/S�X-g i�f0r
病毒类型:间谍类木马
�g�N�h&\&c
�F�f(c�I�g3p�m
危害等级:★;U4L"F3B�\�p
�U�~8@�B:x�l
影响平台:Win 9X/ME/NT/2000/XP/2003
�D*|�o�p�s�f�g�J�@
�e�A7B0|8~8@!l
a
TrojanSpy.BZub.bw“霸e族”变种bw是“霸e族”间谍类木马家族的最新成员之一,采用VC编写,并经过加壳保护处理,是由其它病毒释放出的DLL病毒组件,一般被释放到Windows系统目录下。“霸e族”变种bw运行后,修改注册表,实现该木马开机自动运行,致使在运行某些程序时会自动加载“霸e族”变种bw,隐藏自我,防止被查杀。在被感染计算机系统的后台秘密监视用户打开的窗口标题,一旦发现用户进行在线交易便记录用户的键盘操作和鼠标操作,窃取用户在网上进行在线交易的信息、个人注册信息、用户名、密码等私密数据,并将窃取的用户信息保存为文件,以邮件的形式发送到骇客指定的远程服务器上,给用户带来极大的损失。另外,“霸e族”变种bw还会记录网络和邮件帐户信息,给用户带来不同程度的损失。 :d)k�I/~5B3a5t�B
,A4u*]+U0p
针对以上病毒,江民反病毒中心建议广大电脑用户:
9H8^0a$U�L�d+]
1[�F�T+T
\�@#h8F
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
�U�y$_7w([�F
�}�E0M9b�D�E,v
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3H-Z;m�X�L�o
O�^ F)`:p�I
3、开启江民杀毒软件“系统漏洞检查”功能,全面扫描操作系统漏洞,及时更新Windows操作系统,安装相应补丁程序,以避免病毒利用微软漏洞攻击计算机,造成损失。
+Z*N�D
Q�|�E�H�v
0A�B)H(s#j,x&y�t�~6T"e
4、江民防马墙在系统自动搜集分析带毒网页的基础上,通过黑白名单,阻止用户防问带有木马和恶意脚本的恶意网页并进行处理,有效保障用户上网安全。
$T�j�c�|'c:A3k
4R1r:F#z
Q*b
5、选择具备“网页防马墙”功能的杀毒软件(如KV2008),每天升级杀毒软件病毒库,定时对计算机进行病毒查杀,上网时开启杀毒软件全部监控。
5@ e4K�f�w5j
6K�C�p;F f
6、江民杀毒软件的虚拟机脱壳技术,针对目前主流壳病毒进行虚拟脱壳处理,有效清除“壳病毒”。�x
q�{�k�|�\�@�T y
;x�z�M*o
A:[�d�S6l
7、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页,如检测发现恶意网页,用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。网页安全专家下载地址:[url]http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm[/url]
�W�?$E6K�Q
&S�h G:J1|�D&M�_
8、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码,全面保护用户私密信息。�|1p�k�|:f
�y+g�N+o�T!o
9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:[url]http://online.jiangmin.com/chadu.asp.[/url]
7c1d�]%n/O�c'q
-z�g'A8U7k
h�s;|�j
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站[url]http://www.jiangmin.com[/url]进行在线查阅。(C3j D3|0?�y
k�f&G4e$h
t�d+X/a1g K�c(}
瑞星06月08日反病毒及木马播报�d�s�J�q$h4I7M�d�k
.W�@ Y�_6P4w�R
据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它是:“代理蠕虫变种TU(Worm.Win32.Agent.tu)”病毒。该病毒通过U盘等可移动存储设备传播,病毒会禁用任务管理器、锁定浏览器主页和隐藏系统文件,给用户造成很大不便。
6k�j/~2M�r�r�U�t
S
(E�A�X�K6]�?(T�S
本日热门病毒:
:^2h%W;Z
H
R
�c,{�j�Y8I*A�l�~
“代理蠕虫变种TU(Worm.Win32.Agent. tu)”病毒:警惕程度★★★,蠕虫病毒,通过U盘等可移动存储设备传播,依赖系统:Windows NT/2000/XP/2003。)I�X;n�`;m&r#D�v(w!f
+z0]5E5V�X H
这是一个蠕虫病毒。病毒运行后会把自己复制到系统目录下,并修改注册表启动项实现开机自启动。同时病毒修改注册表信息,来禁用系统任务管理器,禁止WINDOWS自动升级,将系统文件和隐藏文件设置为不可见,以及锁定用户默认浏览器主页,并且试图关闭杀毒软件和安全工具。当病毒发现有标题为“主动防御”或者“恶意行为检测”的对话框时,就发消息模拟鼠标点击不处理,以此躲避杀毒软件查杀。它还会从网上下载新的木马病毒,并在可移动存储设备写入病毒,以此传播。4D+A�t
B+[�K/t
M
}�H�p3C2I0E
反病毒专家建议电脑用户采取以下措施预防该病毒:1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次;2、使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞;3、不浏览不良网站,不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“瑞星账号保险柜”中,可以有效保护密码安全;7、登陆[url]http://tool.ikaka.com下载并安装免费的瑞星卡卡5.2[/url],打开防护中心开启全部防护,防止病毒通过IE漏洞等侵入计算机。
�d6G�`#l�z�X
�K�U�R.G�\5[#K
如遇病毒,请拨打反病毒急救电话:82678800。能够上网的用户可以访问瑞星反病毒资讯网:[url]http://www.rising.com.cn[/url]或登录[url]http://help.rising.com.cn[/url]使用在线专家门诊进行免费咨询。
