【51CTO.com 综合消息】2009年3月16日到3月22日安天实验室中国地区周病毒周报:
2009年3月16日到3月22日病毒周报 |
本周第一位:
Virus/Win32.Virut.n病毒运行后,复制自身到各驱动器根目录下(除系统盘根目录)并衍生配置文件,实现双击盘符运行病毒。在%ProgramFiles%目录和部分附属目录下复制自身并衍生病毒文件;修改注册表,添加启动项,对大量反病毒工具和软件映像劫持,锁定对隐藏文件的显示,使用户无法通过文件夹选项显示隐藏文件;禁用系统防火墙服务、自动更新服务、入侵保护服务、帮助服务;删除注册表中安全模式启动需要加载的驱动文件,使用户无法进入安全模式;开启自动播放功能,感染连接到中毒机器的移动磁盘;该病毒会自动关闭标题栏中含有指定字符的窗口或文件;该病毒主要通过移动磁盘进行传播
重点关注:
Trojan/Win32.Magania.awyj[GameThief]。该病毒为木马类病毒,病毒运行后,创建互斥量,获取当前所在用户、获取网卡MAC地址、衍生(随机病毒名).tmp到临时目录下,使用函数将自身移动到同目录下并重命名为:(随机病毒名).tmp、并将文件属性设置为隐藏,然后将自身删除,动态加载病毒文件(随机病毒名).tmp,动态获取ResetSSDT模块函数地址,调用该DLL函数地址,释放病毒驱动文件到%system32%\Drivers\下,替换该目录下的beep.sys文件,实现通过系统服务加载病毒驱动文件,恢复SSDT达到饶过部分安全软件的实时监控,创建病毒驱动设备名:\\.\RESSDTDOS,添加注册表病毒服务启动项,删除%system32%目录下的Iasmic.dll文件,并释放一个同名文件到该目录下,查找窗口类名、Button按纽,如发现该窗体含有 “允许此动作”、“确定”的字样,则利用鼠标模拟点击该按纽,将病毒DLL文件插入svchost.exe进程中进行通信,病毒运行后连接网络等待控制端发送的控制命令。
专家建议:
1.在任务管理器中查看是否有陌生以及可疑的进程存在。
2.安装安天防线反病毒软件。
3.及时打全系统补丁。
4.及时关注各种应用软件的漏洞并及时更新到应用软件的最新版本。
5.在需要输入游戏账号信息时,打开安天防线反病毒软件的实时监控功能。
6.注意经常更新安天防线反病毒软件的病毒库来阻止被病毒感染。
手动查杀方法:
针对以上病毒,其病毒变种非常之多。其应用技术各不相同所以没有一个固定的手动查杀方法, 只能告诉用户一些基本的杀毒方法,针对微软XP用户:
1.断开网络连接,进行以下操作。
2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。
3.查看是否有陌生程序的启动项,有则找到对应位置,使用安天防线反病毒软件查杀或手动删除。
4.打开“文件夹选项”中的查看隐藏文件等选项,这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改,解决办法使用安天防线反病毒软件扫描或者手动修改。
5.对于使用移动设备时,请先用右键点击查看,是否有“自动运行”项,如有,在使用前用安天防线反病毒软件扫描。
下周病毒预测:
从本周的趋势观察,及据安天实验室捕获统计, 具有网络传播能力的蠕虫和病毒类有所上升,请用户及时升级系统补丁,更新第三方软件的版本,同时安装反病毒软件,更新反病毒数据库。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
8.下载软件后应用使用安天防线反病毒软件进行查杀,然后进行使用。
【相关文章】