摘要:51CTO安全频道今日提醒您注意:在周末的病毒中“卡拉蜜”变种aar、“酷脸”变种t、“网游窃贼”变种iyo、“系统杀手”变种dj、“QQ诈骗犯”变种b、“苍蝇贼”变种dz、“魔兽”变种auj、“IMG-WMF漏洞利用者”都值得关注。
独家报道51CTO安全频道今日提醒您注意:在今后3天的病毒中“卡拉蜜”变种aar、“酷脸”变种t、“网游窃贼”变种iyo、“系统杀手”变种dj、“QQ诈骗犯”变种b、“苍蝇贼”变种dz、“魔兽”变种auj、“IMG-WMF漏洞利用者”变种l都值得关注。
一、明日高危病毒简介及中毒现象描述:
Packed.Krap.aar“卡拉蜜”变种aar是“卡拉蜜”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件,通过修改注册表来实现木马开机的自动运行。“卡拉蜜”变种aar运行后,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“卡拉蜜”变种aar运行时,在被感染计算机的后台秘密监视正在运行的所有窗口标题,一旦发现标题中存在与安全相关的字符串(如“安全警报”、“网页”),便会强行向其进程循环发送垃圾消息,试图使其出错关闭或自动退出,达到自我保护的目的。
“卡拉蜜”变种aar是一个盗取“PlayOnline”网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来不同程度的损失。同时,该木马还会窃取用户“雅虎通(Yahoo! Messenger)”和“Yahoo奇魔”的账号信息资料,并在后台发送到骇客指定远程服务器站点上。另外,“卡拉蜜”变种aar还可进行自我升级。
Worm/Koobface.t“酷脸”变种t是“酷脸”蠕虫家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“酷脸”变种t运行后,会自我复制到被感染计算机系统的“%SystemRoot%\”目录下,重新命名为“bolivar22.exe”,并创建配置文件“fmark2.dat”。获取当前计算机系统的配置信息,发送到骇客指定的站点上。“酷脸”变种t运行时,会在被感染计算机系统的后台连接骇客指定的远程服务器,下载恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户带来不同程度的损失。“酷脸”变种t可能具有自我传播的功能,主安装程序执行完毕后会进行自删除。另外,“酷脸”变种t会修改系统注册表,实现开机的自启动。
TrojanSpy.OnLineGames.iyo“网游窃贼”变种iyo是“网游窃贼”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“网游窃贼”变种iyo运行后,会在被感染计算机的系统目录下释放多个病毒文件,同时将其中的DLL病毒文件插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程以及几乎所有用户级权限的进程中加载运行,通过隐藏自身来防止被轻易地查杀。“网游窃贼”变种iyo是一个专门盗取“QQ华夏Online”、“地下城与勇士 Online”等网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。
同时,“网游窃贼”变种iyo还具有窃取玩家游戏账号密码保护的功能。因此,当游戏玩家发现自己的游戏账号被盗时,请千万不要在被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码,否则会连同密码保护资料一起被骇客盗取,进而蒙受更多的损失。“网游窃贼”变种iyo会利用域名映像劫持功能,阻止用户访问网络游戏的官方站点,从而延误了用户在丢失账号后立即取回密码的时机。“网游窃贼”变种iyo利用进程守护功能来实现自我保护。该病毒会通过替换系统文件来实现开机的自启动。如果安全软件直接删除了病毒文件的话,会导致被感染计算机出现复制(粘贴)功能失效等异常现象,严重地影响了用户对计算机系统的正常使用。另外,“网游窃贼”变种iyo的主程序执行完毕后会自我删除。
Trojan/AntiAV.dj“系统杀手”变种dj是“系统杀手”木马家族中的最新成员之一,采用Delphi语言编写,经过加壳保护处理。“系统杀手”变种dj运行后,会复制自身到系统“c:\tasks\”目录下并重新命名为“绿化.bat”和“csrss.exe”。同时,还会释放脚本文件“hackshen.vbs”和配置文件“SA.DAT”。禁用Windows 安全中心服务“Security Center”,使关闭安全软件后没有警告提示信息,从而达到自我保护的目的。后台调用系统进程“csrss.exe”,尝试结束某些安全软件的运行,给用户的计算机安全造成了一定的安全隐患。释放DLL病毒文件“wsock32.dll”到系统的所有目录下(其中,由于兼容性的问题,可能会导致某些系统软件启动后会报错、退出),利用DLL劫持原理,使某些带有连网功能的软件自动连接骇客指定站点“http://211.***.***.32/wm/”,下载恶意程序“mm.exe”并调用运行(其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成不同程度的安全威胁。
Trojan/QQFishing.b“QQ诈骗犯”变种b是一个传播QQ钓鱼网站的木马程序,通过弹出伪装的QQ中奖消息广告条窗口来诱惑用户上当受骗,从而利用让用户交纳手续费的方式来骗取钱财。该病毒采用VB语言编写,经过加壳保护处理。“QQ诈骗犯”变种b运行时,会在被感染计算机系统中定时弹出伪装的QQ中奖消息广告条窗口来诱惑用户上当受骗。这些广告来源地址为“http://www.**q*8.cn/m/gx.htm”,骇客可以远程随意更新这些广告网址上的信息内容。如果用户不慎点击了这些广告条窗口中的恶意网站连接,该木马程序就会调用IE浏览器打开伪造的网站,并显示虚假的中奖信息,诱惑用户点击并进入领奖窗口。用户按照中奖消息上提供的验证码去钓鱼网站上领取奖品时,需要填写个人资料等信息。领奖信息全部填写完成后,钓鱼网站会提示被骗者给骇客的银行帐户汇钱,从而给被骗者造成不同程度的经济损失。另外“QQ诈骗犯”变种b是通过其它病毒的调用而启动运行的。
Trojan/FlyStudio.dz“苍蝇贼”变种dz是“苍蝇贼”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL病毒文件,一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行,并在被感染计算机系统的后台执行恶意操作,防止被发现和查杀。“苍蝇贼”变种dz运行时,会在被感染计算机系统的后台秘密监视用户的键盘输入,窃取用户输入的大部分账号及密码等机密信息资料,并在后台将窃取的这些机密信息资料发送到骇客指定的远程服务器站点或邮箱里,会给被感染计算机用户的合法权益造成不同程度的侵害。“苍蝇贼”变种dz运行后,会在系统的后台秘密连接骇客指定的服务器,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过“苍蝇贼”变种dz木马程序来实现远程控制,严重的威胁到了计算机用户的信息安全,甚至还会对商业机密造成无法挽回的损失。
Trojan/PSW.Moshou.auj“魔兽”变种auj是“魔兽”木马家族中的最新成员之一,采用Delphi语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“魔兽”变种auj是一个专门盗取“魔兽世界Online”网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。另外,“魔兽”变种auj会通过在被感染计算机注册表启动项中添加键值的方式实现开机后木马自动运行。
Exploit.IMG-WMF.l“IMG-WMF漏洞利用者”变种l是一个利用微软MS08-067漏洞进行恶意攻击的工具。攻击者会利用该工具向指定用户计算机发送特定的远程连接请求。如果用户的计算机没有及时修补该漏洞,在收到该工具发送的特制RPC请求后,会使攻击者不经身份验证,便可成功在远程计算机中执行恶意代码。此漏洞已被用于一些蠕虫攻击事件之中,攻击成功后会导致被攻击系统自动下载骇客指定远程服务器上的恶意程序,并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的安全威胁。强烈建议您使用江民安全工具中的“系统漏洞检查”功能修复该漏洞。同时,安装并合理配置防火墙,以保护计算机系统不受恶意攻击之害。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民病毒库均已更新,并能查杀上述病毒。感谢江民科技为51CTO安全频道提供病毒信息。
