感染蠕虫下载器关闭杀软下载病毒
新客网 XKER.COM 2008-04-29 来源:金山 收藏本文
4月29日:“感染蠕虫下载器995328”(Worm.AutoRun.dj.995328),这是一个蠕虫病毒。该病毒会遍历磁盘,感染全部的正常文件,并试图关闭安全软件。接着,它连接病毒作者指定的服务器,下载其它的病毒到用户电脑中运行。
“风洞下载器”(Js.Agent.eg.2281),这是一个脚本病毒。它利用“暴风影音II ”多媒体播放器的缓冲区溢出漏洞进行破坏活动,如果溢出成功将会从病毒作者指定的地址下载木马程序执行。
一、“感染蠕虫下载器995328”(Worm.AutoRun.dj.995328) 威胁级别:★★
这个蠕虫病毒和它的同类相比,基本原理相近,都是利用感染正常文件的方式实现传播。它本身对系统不具备破坏能力,真正危害在于,该毒在进入系统后,会连接病毒作者指定的地址,下载更多的病毒文件。
病毒随着被感染的文件进入用户系统,它在系统盘的创建目录%windows%目录下创造出一个“Tasks”目录,然后将病毒文件0×01xx8p.exe、spoolsv.ext、SysFile.brk释放到其中,同时在%WINDOWS%目录中生成病毒文件spoolsv.exe。完成这一步骤,病毒就删除自己的原始文件,让用户难以发现它的痕迹。
接下来,病毒搜索exe格式文件,将要感染的病毒代码赋值到缓存,把被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。这样,它就能随着该文件的复制实现传播。与此同时,病毒遍历进程,查找并试图强行关闭金山毒霸、江民、瑞星等杀毒软件的进程。不过经毒霸反病毒工程师检验,这些操作都无法实现。
最后,病毒读取之前释放出的下载列表spoolsv.ext,在用户无法察觉的情况下连接远程服务器http://2**p.cn/,下载大量其它病毒和最新的配置文件,从而实现真正的破坏。
二、“风洞下载器”(Js.Agent.eg.2281) 威胁级别:★
有不少脚本病毒会利用第三方软件的漏洞来进行传播,本篇预警中的病毒就是这样一个脚本病毒,它所利用的对象是暴风影音II的mps.dll组件缓冲区溢出漏洞。
病毒会以网页挂马或捆绑视频文件的形式混进用户电脑,当用户在线观看视频时,病毒就会从从病毒作者指定的地址http://q**.qq**80.com/下载一个病毒文件,并将它保存在%WINDOWS%\system32\目录下。
毒霸反病毒工程师根据病毒中的信息判断,该病毒是由病毒生成器生成,这意味着它拥有较多的变种,病毒作者可以给它们分别设置不同的下载地址和下载内容让它们具有各种破坏能力。
针对该毒,毒霸反病毒工程师建议用户及时安装系统补丁,并及时升级第三方软件和杀毒软件。此外,尽量不要去非法的视频网站观看和下载视频。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
“风洞下载器”(Js.Agent.eg.2281),这是一个脚本病毒。它利用“暴风影音II ”多媒体播放器的缓冲区溢出漏洞进行破坏活动,如果溢出成功将会从病毒作者指定的地址下载木马程序执行。
一、“感染蠕虫下载器995328”(Worm.AutoRun.dj.995328) 威胁级别:★★
这个蠕虫病毒和它的同类相比,基本原理相近,都是利用感染正常文件的方式实现传播。它本身对系统不具备破坏能力,真正危害在于,该毒在进入系统后,会连接病毒作者指定的地址,下载更多的病毒文件。
病毒随着被感染的文件进入用户系统,它在系统盘的创建目录%windows%目录下创造出一个“Tasks”目录,然后将病毒文件0×01xx8p.exe、spoolsv.ext、SysFile.brk释放到其中,同时在%WINDOWS%目录中生成病毒文件spoolsv.exe。完成这一步骤,病毒就删除自己的原始文件,让用户难以发现它的痕迹。
接下来,病毒搜索exe格式文件,将要感染的病毒代码赋值到缓存,把被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。这样,它就能随着该文件的复制实现传播。与此同时,病毒遍历进程,查找并试图强行关闭金山毒霸、江民、瑞星等杀毒软件的进程。不过经毒霸反病毒工程师检验,这些操作都无法实现。
最后,病毒读取之前释放出的下载列表spoolsv.ext,在用户无法察觉的情况下连接远程服务器http://2**p.cn/,下载大量其它病毒和最新的配置文件,从而实现真正的破坏。
二、“风洞下载器”(Js.Agent.eg.2281) 威胁级别:★
有不少脚本病毒会利用第三方软件的漏洞来进行传播,本篇预警中的病毒就是这样一个脚本病毒,它所利用的对象是暴风影音II的mps.dll组件缓冲区溢出漏洞。
病毒会以网页挂马或捆绑视频文件的形式混进用户电脑,当用户在线观看视频时,病毒就会从从病毒作者指定的地址http://q**.qq**80.com/下载一个病毒文件,并将它保存在%WINDOWS%\system32\目录下。
毒霸反病毒工程师根据病毒中的信息判断,该病毒是由病毒生成器生成,这意味着它拥有较多的变种,病毒作者可以给它们分别设置不同的下载地址和下载内容让它们具有各种破坏能力。
针对该毒,毒霸反病毒工程师建议用户及时安装系统补丁,并及时升级第三方软件和杀毒软件。此外,尽量不要去非法的视频网站观看和下载视频。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
上一篇:瑞星发布误杀系统文件的解决方案 下一篇:微软预留后门 警方可获取硬盘资料
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
推荐阅读
阅读排行
随机推荐
实用信息推荐