病毒周报(100111至100117)
生活随笔
收集整理的這篇文章主要介紹了
病毒周报(100111至100117)
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
動物家園計算機安全咨詢中心(www.kingzoo.com)反病毒斗士報:
“修改者”(Trojan/Win32.StartPage.cjh[Clicker]) 威脅級別:★★
? ? 該惡意代碼文件為惡意廣告類***,病毒運行后創建注冊表項,彈出消息框(檢測到您的系統設置與播放器有沖突!請點擊桌面高清電影開始激情體驗)的提示,調用iexplore.exe彈出一個廣告鏈接網址,遍歷C:\Documents and Settings\a\「開始」菜單\程序目錄下是否存在*.url、*.lnk文件,如有則刪除,創建一個Internet Explorer快捷方式到該目錄下修改目標位置為:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.74***.com/?zzp使其打開時彈出指定的廣告網址,創建多個*.url、*.lnk文件快捷方式到桌面,添加多個廣告網址到IE瀏覽器的收藏夾內,修改注冊表隱藏桌面上的Internet Explorer瀏覽器的右鍵菜單項,修改360安全瀏覽器的配置文件改為病毒指定的廣告網址,試圖創建修改%Documents and Settings%\a\Application Data\文件夾內的火狐瀏覽器、TT瀏覽器的配置文件的主頁改為病毒指定的廣告地址,創建多個.ico文件圖標到%System32%目錄下來設置病毒在桌面創建的.lnk文件的圖標,修改注冊表項創建3個.lnk文件到桌面使其無法正常刪除。
“灰鴿子”(Backdoor/Win32.Hupigon.drek) 威脅級別:★★
? ? 該病毒文件為后門類***,病毒運行后用LOAD資源加密信息,該加密信息包括(上線IP地址、端口、衍生的文件名及要注入的進程、服務名等),創建互斥量,名為:yataghanfuckyoumother09防止病毒多次運行造成沖突,拷貝自身到%Windir%目錄下并命名為:yataghan.exe,添加注冊表服務啟動項,開啟一個IEXPLOER.EXE進程并將病毒代碼注入到該進程中通過連接網絡進行通信,病毒運行后刪除自身文件。控制者對感染的用戶進行剪切、復制、拷貝、刪除、視頻監控、語音監聽等惡意操控。
“大話***”(Trojan/Win32.WOW.vno[Stealer]) 威脅級別:★★
? ? 該病毒文件為大話西游游戲盜號***,病毒運行后創建t322025.ini到%System32%目錄下,衍生隨機病毒名文件到臨時目錄下,遍歷進程查找AVP.EXE進程,如果進程存在則拷貝rundll32.exe一份重命名為t322025.exe,調用CMD命令使用被重命名的t322025.exe文件(原文件名rundll32.exe)來啟動臨時目錄下的病毒文件,如進程不存在則直接使用rundll32.exe啟動臨時目錄下的病毒文件,臨時目錄下的病毒文件被啟動后對進程進行提權操作,判斷自身進程是否為svchost.exe,如不是則退出,如是則衍生病毒DLL文件到%System32%目錄下,拷貝rpcss.dll系統文件為t3rpcss.dll,將病毒DLL文件注入到EXPLORER.EXE進程中,病毒DLL查找含有大話西游標題和xy2_ex.exe進程的窗口,安裝消息鉤子截取游戲賬號密碼通過URL方式將賬號信息發送到作者指定的地址中。
動物家園計算機安全咨詢中心反病毒工程師建議:
? ?1、從其他網站下載的軟件或者文件,打開前一定要注意檢查下是否帶有病毒。
??
? ?2、別輕易打開陌生人郵件及郵件附件、連接等。
? ?3、用戶應該及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦。
? ?4、盡量把系統帳號密碼設置強壯點,勿用空密碼或者過于簡單。
? ?5、發現異常情況,請立即更新你的反病毒軟件進行全盤查殺或者登陸bbs.kingzoo.com(安全咨詢中心)咨詢
“修改者”(Trojan/Win32.StartPage.cjh[Clicker]) 威脅級別:★★
? ? 該惡意代碼文件為惡意廣告類***,病毒運行后創建注冊表項,彈出消息框(檢測到您的系統設置與播放器有沖突!請點擊桌面高清電影開始激情體驗)的提示,調用iexplore.exe彈出一個廣告鏈接網址,遍歷C:\Documents and Settings\a\「開始」菜單\程序目錄下是否存在*.url、*.lnk文件,如有則刪除,創建一個Internet Explorer快捷方式到該目錄下修改目標位置為:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.74***.com/?zzp使其打開時彈出指定的廣告網址,創建多個*.url、*.lnk文件快捷方式到桌面,添加多個廣告網址到IE瀏覽器的收藏夾內,修改注冊表隱藏桌面上的Internet Explorer瀏覽器的右鍵菜單項,修改360安全瀏覽器的配置文件改為病毒指定的廣告網址,試圖創建修改%Documents and Settings%\a\Application Data\文件夾內的火狐瀏覽器、TT瀏覽器的配置文件的主頁改為病毒指定的廣告地址,創建多個.ico文件圖標到%System32%目錄下來設置病毒在桌面創建的.lnk文件的圖標,修改注冊表項創建3個.lnk文件到桌面使其無法正常刪除。
“灰鴿子”(Backdoor/Win32.Hupigon.drek) 威脅級別:★★
? ? 該病毒文件為后門類***,病毒運行后用LOAD資源加密信息,該加密信息包括(上線IP地址、端口、衍生的文件名及要注入的進程、服務名等),創建互斥量,名為:yataghanfuckyoumother09防止病毒多次運行造成沖突,拷貝自身到%Windir%目錄下并命名為:yataghan.exe,添加注冊表服務啟動項,開啟一個IEXPLOER.EXE進程并將病毒代碼注入到該進程中通過連接網絡進行通信,病毒運行后刪除自身文件。控制者對感染的用戶進行剪切、復制、拷貝、刪除、視頻監控、語音監聽等惡意操控。
“大話***”(Trojan/Win32.WOW.vno[Stealer]) 威脅級別:★★
? ? 該病毒文件為大話西游游戲盜號***,病毒運行后創建t322025.ini到%System32%目錄下,衍生隨機病毒名文件到臨時目錄下,遍歷進程查找AVP.EXE進程,如果進程存在則拷貝rundll32.exe一份重命名為t322025.exe,調用CMD命令使用被重命名的t322025.exe文件(原文件名rundll32.exe)來啟動臨時目錄下的病毒文件,如進程不存在則直接使用rundll32.exe啟動臨時目錄下的病毒文件,臨時目錄下的病毒文件被啟動后對進程進行提權操作,判斷自身進程是否為svchost.exe,如不是則退出,如是則衍生病毒DLL文件到%System32%目錄下,拷貝rpcss.dll系統文件為t3rpcss.dll,將病毒DLL文件注入到EXPLORER.EXE進程中,病毒DLL查找含有大話西游標題和xy2_ex.exe進程的窗口,安裝消息鉤子截取游戲賬號密碼通過URL方式將賬號信息發送到作者指定的地址中。
動物家園計算機安全咨詢中心反病毒工程師建議:
? ?1、從其他網站下載的軟件或者文件,打開前一定要注意檢查下是否帶有病毒。
??
? ?2、別輕易打開陌生人郵件及郵件附件、連接等。
? ?3、用戶應該及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦。
? ?4、盡量把系統帳號密碼設置強壯點,勿用空密碼或者過于簡單。
? ?5、發現異常情況,請立即更新你的反病毒軟件進行全盤查殺或者登陸bbs.kingzoo.com(安全咨詢中心)咨詢
轉載于:https://blog.51cto.com/kingzoo/263226
與50位技術專家面對面20年技術見證,附贈技術全景圖總結
以上是生活随笔為你收集整理的病毒周报(100111至100117)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 周鸿祎的“加法”和“减法”
- 下一篇: QQ2009任务栏的QQ图标怎么隐藏