病毒周报(081117至081123)
本周重点关注病毒:
“捕食网下载器”(Win32.Troj.DownLoadT.bm.102400) 威胁级别:★★
自从MS08-67漏洞公布以来,大量针对此漏洞的病毒***大量涌现,刚处理完“扫荡波”带来的威胁,动物家园反病毒斗士小组又捕获了另一个利用MS08-67漏洞的病毒,运行原理与“扫荡波”大同小异,因此提醒广大用户注意防范。
此病毒运行后,释放出多个子文件,其中比较重要的一个是%WINDOWS%\system32\drivers\目录中的驱动文件winsawids.sys,另一个是%WINDOWS%\system32\目录中的jiocs.dll。病毒会利用系统自身的rundll32.exe进程来加载自己的文件,实现自启动和隐蔽运行。
该毒每次运行时会解密一段数据,然后将这段数据发送到驱动,由驱动将这段数据创建为可执行文件,并执行这段文件。如可以成功运行,它便能够下载其它盗号***和自己的最新版本到中毒机器中。同时,搜索局域网以及外网的同一网段,只要发现未打MS08-67补丁、并且防火墙被关闭的电脑,就进行***,继续进行更大范围的传播。
“地下城盗贼102400”(Win32.Troj.Agent.tz.102400) 威胁级别:★★
该毒在释放出大量的子文件后,就搜索tenqqaccount.dll、DNF.exe、QQLogin.exe等QQ游戏的相关模块,开始执行盗号操作。在此过程中,它会替换电脑里的多处文件,比如系统文件csrss.dll和rpcss.dll,以及QQ游戏中自带的驱动文件TesSafe.sys。
这些文件都是与系统安全有关的,将它们替换为自己的文件,当病毒执行盗号任务时,玩家就不会收到任何安全提示,直到发觉帐号丢失也是一头雾水,不知道是什么时候被盗的。
该毒的变种比较多,部分变种由于病毒作者配置的原因,在杀毒软件对它们进查杀时,可能导致系统崩溃蓝屏,让系统与它们“同归于尽”。
号外:“奸商修改器”(Win32.troj.profiteer.271360) 威胁级别:★★★ (注意此是恶意度,不是病毒传染度)
动物家园反病毒斗士小组近日发现,一款能修改Thinkpad笔记本硬件配置信息的病毒,它是一个修改器程序,能对从T43开始、到酷睿2时代T60之间的所有机型进行修改,让低配置的水货机甚至完全冒牌的机器,看上去和正品行货机的配置完全一样。
通过对该修改器的分析,动物家园反病毒斗士小组发现,此毒极有可能是不法商人找人“量身定制”的,奸商们借助多种形式,将一些Thinkpad笔记本换芯,然后通过刷bios和利用此修改器来进行掩盖。被此修改器动过手脚的机器,无论是系统属性还是CPU信息,查看起来都是正常的。而由于笔记本在使用中,Intel的 Speedstep技术还会降频,因此在性能上也感觉不到多大差异。也就是说,用户很可能用了很长时间的Thinkpad水货,也不知道自己其实是当了冤大头。
该毒的修改过程比较复杂,总结该毒的4点特征:
1.系统的%WINDOWS%system32\目录中都存在smssa.exe和smssb.exe两个进程,将它们强制关闭后,cpu频率会明显降低。
2.利用Bios工具进行查看,cpu数据显示正常,但其版本日期都为05年11月7日。
3.在smssa.Exe和smssb.Exe进程运行状态下,通过cpu-z等检测工具检测出来的值 都为修改后的值,且cpu信息那栏不停的闪动。
4.大多数问题都出现在水货Thinkpad笔记本。
以前也曾有修改电脑配置数据的修改器被曝光,但它们只是在装机初期进行安装,修改完后就会被删除。而此次发现的“奸商修改器”则是长期驻留在系统中,并且可以骗过大部分硬件配置查看工具的检查。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询
转载于:https://blog.51cto.com/kingzoo/113233
病毒周报(081117至081123)相关推荐
- 病毒周报(091102至091108)
动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报: 疯狂下载者dyq"(Trojan/Win32.Small.dyq[Dropper]) 威胁级别:★★ 该恶意代码为 ...
- 病毒周报(071029至071104)
动物家园计算机安全咨询中心([url]www.kingzoo.com[/url])反病毒斗士报牵手广州市计算机信息网络安全协会([url]www.cinsa.cn[/url])发布: 本周重点关注病毒 ...
- 病毒周报(100308至100314)
动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报: "捆绑***"(Trojan/Win32.Agent.ahwr[Dropper]) 威胁级别:★★ 该病 ...
- 病毒周报(100719至100725)
动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报: "下载者***"(Trojan/Win32.Agent.cjub[Dropper]) 威胁级别:★★ 该 ...
- 病毒周报(081110至081116)
动物家园计算机安全咨询中心([url]www.kingzoo.com[/url])反病毒斗士报牵手广州市计算机信息网络安全协会([url]www.cinsa.cn[/url])发布: 本周重点关注病毒 ...
- 病毒周报(100111至100117)
动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报: "修改者"(Trojan/Win32.StartPage.cjh[Clicker]) 威胁级别:★★ 该 ...
- 病毒周报(100301至100307)
动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报: "控制者"(Backdoor/Win32.Bifrose.cgpv) 威胁级别:★★ 该病毒为客户端,根 ...
- 病毒周报(080901至080907)
动物家园计算机安全咨询中心([url]www.kingzoo.com[/url])反病毒斗士报牵手广州市计算机信息网络安全协会([url]www.cinsa.cn[/url])发布: 本周重点关注病毒 ...
- 病毒周报(100118至100124)
动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报: "广告***"(Trojan/VBS.StartPage.dv[Clicker]) 威胁级别:★★ 恶意 ...
最新文章
- 2020考研 管理类联考综合能力-写作
- 一条命令安装Windows Subsystem for Linux
- linux下msmtp+mutt+shell发送邮件
- 使用ftp命令之后,如何退出
- 最近学习 variant configuration
- 基于C语言图书馆管理系统编程设计
- Java——事故应急
- 微信手机号授权解密失败问题现象和解决方法: getPhoneNumber
- ps怎么对比原图快捷键_ps快捷键对比
- 嵌入式linux触摸屏校正命令,基于嵌入式Linux和MiniGUI的通用触摸屏校准程序
- JAVA深度学习文本审核_内容审核-文本
- 惊艳的基于nodejs的实时Web开发框架Meteor介绍
- 当黑客被抓是种怎样的体验?
- flutter SliverAppBar
- HDU 1867(kmp应用)
- 支付宝接口 设置支付宝订单的超时时间为15分钟
- 张小龙在2017微信公开课PRO版讲了什么(附演讲实录和2016微信数据报告)
- 临时牙冠为何选择用3D打印来制作?
- 昂达vi40精英版刷Linux,昂达vi40旗舰版刷机教程【图解】
- 计算机丢失mfc110d.dll,msvcp110d.dll
热门文章
- 项目整合管理——项目管理信息系统(新年快乐)
- 什么是Activity,Activity的其他概念, Activity分类
- 量子计算机和肖尔算法,量子计算机、肖尔算法与多重宇宙有关联性,能证明多重宇宙存在...
- 便笺条改进版,重新上传!
- 对sshd服务更灵活的管理——密钥认证
- 三星s10刷android原生,三星S10 S10+ 国行版 安卓9 完美ROOT 精简稳定 丰富高级设置 Magisk 省电刷机包...
- 机器人削面机的种类和价格_刀削面机器人价格与人工相比一年低一半
- 原生js实现旋转木马效果
- 猪肉干烘干工艺,猪肉干的工艺步骤如下
- 国土空间规划迎来标准化,市场爆发在即