摘要:51CTO安全頻道今日提醒您注意:在周末的病毒中“卡拉蜜”變種aar、“酷臉”變種t、“網游竊賊”變種iyo、“系統殺手”變種dj、“QQ詐騙犯”變種b、“蒼蠅賊”變種dz、“魔獸”變種auj、“IMG-WMF漏洞利用者”都值得關注。
獨家報道51CTO安全頻道今日提醒您注意:在今后3天的病毒中“卡拉蜜”變種aar、“酷臉”變種t、“網游竊賊”變種iyo、“系統殺手”變種dj、“QQ詐騙犯”變種b、“蒼蠅賊”變種dz、“魔獸”變種auj、“IMG-WMF漏洞利用者”變種l都值得關注。
一、明日高危病毒簡介及中毒現象描述:
Packed.Krap.aar“卡拉蜜”變種aar是“卡拉蜜”木馬家族中的最新成員之一,采用高級語言編寫,并且經過加殼保護處理。該病毒是由其它惡意程序釋放出來的DLL功能組件,通過修改注冊表來實現木馬開機的自動運行。“卡拉蜜”變種aar運行后,一般會被注入到系統桌面程序“explorer.exe”等幾乎所有用戶級權限的進程中加載運行,在被感染計算機系統的后臺執行惡意操作,隱藏自我,防止被用戶發現、被安全軟件查殺。“卡拉蜜”變種aar運行時,在被感染計算機的后臺秘密監視正在運行的所有窗口標題,一旦發現標題中存在與安全相關的字符串(如“安全警報”、“網頁”),便會強行向其進程循環發送垃圾消息,試圖使其出錯關閉或自動退出,達到自我保護的目的。
“卡拉蜜”變種aar是一個盜取“PlayOnline”網絡游戲會員賬號的木馬程序,會在被感染計算機的后臺秘密監視用戶系統中所運行著的所有應用程序窗口標題,然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲賬號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息,并在后臺將竊取到的玩家機密信息發送到駭客指定的遠程服務器站點上(地址加密存放),致使網絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失,給游戲玩家帶來不同程度的損失。同時,該木馬還會竊取用戶“雅虎通(Yahoo! Messenger)”和“Yahoo奇魔”的賬號信息資料,并在后臺發送到駭客指定遠程服務器站點上。另外,“卡拉蜜”變種aar還可進行自我升級。
Worm/Koobface.t“酷臉”變種t是“酷臉”蠕蟲家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫,并且經過加殼保護處理。“酷臉”變種t運行后,會自我復制到被感染計算機系統的“%SystemRoot%\”目錄下,重新命名為“bolivar22.exe”,并創建配置文件“fmark2.dat”。獲取當前計算機系統的配置信息,發送到駭客指定的站點上。“酷臉”變種t運行時,會在被感染計算機系統的后臺連接駭客指定的遠程服務器,下載惡意程序并自動調用運行。其中,所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,會給用戶帶來不同程度的損失。“酷臉”變種t可能具有自我傳播的功能,主安裝程序執行完畢后會進行自刪除。另外,“酷臉”變種t會修改系統注冊表,實現開機的自啟動。
TrojanSpy.OnLineGames.iyo“網游竊賊”變種iyo是“網游竊賊”木馬家族中的最新成員之一,采用高級語言編寫,并且經過加殼保護處理。“網游竊賊”變種iyo運行后,會在被感染計算機的系統目錄下釋放多個病毒文件,同時將其中的DLL病毒文件插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系統進程以及幾乎所有用戶級權限的進程中加載運行,通過隱藏自身來防止被輕易地查殺。“網游竊賊”變種iyo是一個專門盜取“QQ華夏Online”、“地下城與勇士 Online”等網絡游戲會員賬號的木馬程序,會在被感染計算機的后臺秘密監視用戶系統中所運行著的所有應用程序窗口標題,然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲賬號等信息,并在后臺將竊取到的玩家機密信息發送到駭客指定的遠程服務器站點上(地址加密存放),致使網絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失,給游戲玩家造成不同程度的損失。
同時,“網游竊賊”變種iyo還具有竊取玩家游戲賬號密碼保護的功能。因此,當游戲玩家發現自己的游戲賬號被盜時,請千萬不要在被感染的計算機上登陸該網絡游戲的官方網站去找回游戲密碼,否則會連同密碼保護資料一起被駭客盜取,進而蒙受更多的損失。“網游竊賊”變種iyo會利用域名映像劫持功能,阻止用戶訪問網絡游戲的官方站點,從而延誤了用戶在丟失賬號后立即取回密碼的時機。“網游竊賊”變種iyo利用進程守護功能來實現自我保護。該病毒會通過替換系統文件來實現開機的自啟動。如果安全軟件直接刪除了病毒文件的話,會導致被感染計算機出現復制(粘貼)功能失效等異常現象,嚴重地影響了用戶對計算機系統的正常使用。另外,“網游竊賊”變種iyo的主程序執行完畢后會自我刪除。
Trojan/AntiAV.dj“系統殺手”變種dj是“系統殺手”木馬家族中的最新成員之一,采用Delphi語言編寫,經過加殼保護處理。“系統殺手”變種dj運行后,會復制自身到系統“c:\tasks\”目錄下并重新命名為“綠化.bat”和“csrss.exe”。同時,還會釋放腳本文件“hackshen.vbs”和配置文件“SA.DAT”。禁用Windows 安全中心服務“Security Center”,使關閉安全軟件后沒有警告提示信息,從而達到自我保護的目的。后臺調用系統進程“csrss.exe”,嘗試結束某些安全軟件的運行,給用戶的計算機安全造成了一定的安全隱患。釋放DLL病毒文件“wsock32.dll”到系統的所有目錄下(其中,由于兼容性的問題,可能會導致某些系統軟件啟動后會報錯、退出),利用DLL劫持原理,使某些帶有連網功能的軟件自動連接駭客指定站點“http://211.***.***.32/wm/”,下載惡意程序“mm.exe”并調用運行(其中,所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,給用戶造成不同程度的安全威脅。
Trojan/QQFishing.b“QQ詐騙犯”變種b是一個傳播QQ釣魚網站的木馬程序,通過彈出偽裝的QQ中獎消息廣告條窗口來誘惑用戶上當受騙,從而利用讓用戶交納手續費的方式來騙取錢財。該病毒采用VB語言編寫,經過加殼保護處理。“QQ詐騙犯”變種b運行時,會在被感染計算機系統中定時彈出偽裝的QQ中獎消息廣告條窗口來誘惑用戶上當受騙。這些廣告來源地址為“http://www.**q*8.cn/m/gx.htm”,駭客可以遠程隨意更新這些廣告網址上的信息內容。如果用戶不慎點擊了這些廣告條窗口中的惡意網站連接,該木馬程序就會調用IE瀏覽器打開偽造的網站,并顯示虛假的中獎信息,誘惑用戶點擊并進入領獎窗口。用戶按照中獎消息上提供的驗證碼去釣魚網站上領取獎品時,需要填寫個人資料等信息。領獎信息全部填寫完成后,釣魚網站會提示被騙者給駭客的銀行帳戶匯錢,從而給被騙者造成不同程度的經濟損失。另外“QQ詐騙犯”變種b是通過其它病毒的調用而啟動運行的。
Trojan/FlyStudio.dz“蒼蠅賊”變種dz是“蒼蠅賊”木馬家族中的最新成員之一,采用高級語言編寫,并且經過加殼保護處理。該病毒是由其它惡意程序釋放出來的DLL病毒文件,一般會被注入到系統IE瀏覽器“IEXPLORE.EXE”進程中加載運行,并在被感染計算機系統的后臺執行惡意操作,防止被發現和查殺。“蒼蠅賊”變種dz運行時,會在被感染計算機系統的后臺秘密監視用戶的鍵盤輸入,竊取用戶輸入的大部分賬號及密碼等機密信息資料,并在后臺將竊取的這些機密信息資料發送到駭客指定的遠程服務器站點或郵箱里,會給被感染計算機用戶的合法權益造成不同程度的侵害。“蒼蠅賊”變種dz運行后,會在系統的后臺秘密連接駭客指定的服務器,偵聽駭客指令,然后在被感染的計算機上執行相應的惡意操作。駭客可通過“蒼蠅賊”變種dz木馬程序來實現遠程控制,嚴重的威脅到了計算機用戶的信息安全,甚至還會對商業機密造成無法挽回的損失。
Trojan/PSW.Moshou.auj“魔獸”變種auj是“魔獸”木馬家族中的最新成員之一,采用Delphi語言編寫,并且經過加殼保護處理。該病毒是由其它惡意程序釋放出來的DLL功能組件,一般會被注入到系統桌面程序“explorer.exe”等幾乎所有用戶級權限的進程中加載運行,并在被感染計算機系統的后臺執行惡意操作,隱藏自我,防止被用戶發現、被安全軟件查殺。“魔獸”變種auj是一個專門盜取“魔獸世界Online”網絡游戲會員賬號的木馬程序,會在被感染計算機的后臺秘密監視用戶系統中所運行著的所有應用程序窗口標題,然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲賬號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息,并在后臺將竊取到的玩家機密信息發送到駭客指定的遠程服務器站點上,致使網絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失,給游戲玩家造成不同程度的損失。另外,“魔獸”變種auj會通過在被感染計算機注冊表啟動項中添加鍵值的方式實現開機后木馬自動運行。
Exploit.IMG-WMF.l“IMG-WMF漏洞利用者”變種l是一個利用微軟MS08-067漏洞進行惡意攻擊的工具。攻擊者會利用該工具向指定用戶計算機發送特定的遠程連接請求。如果用戶的計算機沒有及時修補該漏洞,在收到該工具發送的特制RPC請求后,會使攻擊者不經身份驗證,便可成功在遠程計算機中執行惡意代碼。此漏洞已被用于一些蠕蟲攻擊事件之中,攻擊成功后會導致被攻擊系統自動下載駭客指定遠程服務器上的惡意程序,并自動調用運行。其中,所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,會給用戶造成不同程度的安全威脅。強烈建議您使用江民安全工具中的“系統漏洞檢查”功能修復該漏洞。同時,安裝并合理配置防火墻,以保護計算機系統不受惡意攻擊之害。
二、針對以上病毒,51CTO安全頻道建議廣大用戶:
1、最好安裝專業的殺毒軟件進行全面監控并及時升級病毒代碼庫。建議用戶將一些主要監控經常打開,如郵件監控、內存監控等,目的是防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。
2、請勿隨意打開郵件中的附件,尤其是來歷不明的郵件。企業級用戶可在通用的郵件服務器平臺開啟監控系統,在郵件網關處攔截病毒,確保郵件客戶端的安全。
3、企業級用戶應及時升級控制中心,并建議相關管理人員在適當時候進行全網查殺病毒。另外為保證企業信息安全,應關閉共享目錄并為管理員帳戶設置強口令,不要將管理員口令設置為空或過于簡單的密碼。
截至記者發稿時止,江民病毒庫均已更新,并能查殺上述病毒。感謝江民科技為51CTO安全頻道提供病毒信息。
