5月9日病毒預(yù)警:小心木馬來襲

2009-05-09 10:54:52      挖貝網(wǎng)

  【比特網(wǎng)綜合報道】比特網(wǎng)安全頻道今日提醒您注意:在今日的病毒中“代理木馬”變種bxxu和“QQ大盜”變種vvy都值得關(guān)注。

  一、今日高危病毒簡介及中毒現(xiàn)象描述:

  “代理木馬”變種bxxu是“代理木馬”家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫?!按砟抉R”變種bxxu運行后,會自我復(fù)制到被感染計算機系統(tǒng)的“%SystemRoot%system32”目錄下,重新命名為“jydk.exe”(文件屬性為“系統(tǒng)、隱藏”)。在被感染計算機的后臺遍歷當前系統(tǒng)中所有正在運行的進程,一旦發(fā)現(xiàn)指定的安全軟件存在,便會通過調(diào)用批處理指令等方式來試圖結(jié)束這些安全軟件的運行,從而達到了自我保護的目的?!按砟抉R”變種bxxu運行時,會在被感染計算機系統(tǒng)的后臺連接駭客指定的遠程服務(wù)器站點“http://jueyeshen.33*.org”,讀取配置文件,并根據(jù)配置文件中的設(shè)置對指定的IP地址及端口不斷發(fā)送連接請求,以此進行DDos攻擊,大大地消耗了被攻擊計算機的網(wǎng)絡(luò)帶寬和系統(tǒng)資源,致使被攻擊者蒙受不同程度的損失。同時,“代理木馬”變種bxxu還會根據(jù)配置文件下載惡意程序并自動調(diào)用運行。其中,所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多不同程度的威脅?!按砟抉R”變種bxxu會在被感染計算機中注冊名為“jydk”的系統(tǒng)服務(wù),以此實現(xiàn)木馬的開機自啟。

  “QQ大盜”變種vvy是“QQ大盜”盜號木馬家族中的最新成員之一,采用“Borland Delphi 6.0 - 7.0”編寫,并且經(jīng)過加殼保護處理?!癚Q大盜”變種vvy是一個通過彈出仿冒“QQ”中獎消息窗口來誘騙用戶上當,從而實施網(wǎng)絡(luò)詐騙的木馬程序?!癚Q大盜”變種vvy運行后,會將惡意代碼注入到“explorer.exe”進程中隱密運行。遍歷當前系統(tǒng)中所有正在運行的進程,一旦發(fā)現(xiàn)指定的安全軟件存在時,便會嘗試將其結(jié)束。利用文件映像劫持功能,干擾安全軟件的正常運行,從而使得系統(tǒng)失去安全軟件的防護,增加了遭受病毒侵害的風險。“QQ大盜”變種vvy運行時,會在系統(tǒng)托盤區(qū)域模仿“QQ”廣播的“喇叭”圖標閃爍,用戶點擊后將彈出虛假的中獎提示窗口,進一步地將用戶引導(dǎo)至釣魚網(wǎng)站“http://qq10000*qq.com.cn”的指定頁面并實施詐騙。同時,該網(wǎng)站可能還存在網(wǎng)頁掛馬等惡意行為,從而使得被感染計算機用戶面臨更多的威脅?!癚Q大盜”變種vvy還會向駭客指定的站點“http://www.dgrgds*.cn/install.asp”反饋用戶的感染情況及計算機信息,并會通過在注冊表啟動項中添加鍵值“QQ10000”的方式來實現(xiàn)開機后的自動運行。

  二、針對以上病毒,比特網(wǎng)安全頻道建議廣大用戶:

  1、最好安裝專業(yè)的殺毒軟件進行全面監(jiān)控并及時升級病毒代碼庫。建議用戶將一些主要監(jiān)控經(jīng)常打開,如郵件監(jiān)控、內(nèi)存監(jiān)控等,目的是防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。

  2、請勿隨意打開郵件中的附件,尤其是來歷不明的郵件。企業(yè)級用戶可在通用的郵件服務(wù)器平臺開啟監(jiān)控系統(tǒng),在郵件網(wǎng)關(guān)處攔截病毒,確保郵件客戶端的安全。

  3、企業(yè)級用戶應(yīng)及時升級控制中心,并建議相關(guān)管理人員在適當時候進行全網(wǎng)查殺病毒。另外為保證企業(yè)信息安全,應(yīng)關(guān)閉共享目錄并為管理員帳戶設(shè)置強口令,不要將管理員口令設(shè)置為空或過于簡單的密碼。

  截至記者發(fā)稿時止,江民的病毒庫已更新,并能查殺上述病毒。感謝江民科技、瑞星科技、安天實驗室為比特網(wǎng)安全頻道提供病毒信息。

相關(guān)閱讀