安天五月第2周病毒报告:AutoIt病毒极度嚣张

安全
从本周的趋势观察,及据安天实验室捕获统计, 具有盗取能力的木马类和感染能力的病毒和蠕虫总体都有所上升,同时病毒类和蠕虫类也会伴有窃取用户信息的能力,提醒广大用户注意个人信息的保密,同时请用户及时升级病毒库,预防此类病毒侵袭。
 

【51CTO.com 综合消息】本周第一位:   

Worm/Win32.AutoIt.r该病毒运行后,获取kernel32.dll基址,动态获取大量API函数地址,动态加载系统库文件uxtheme.dll,调用该库文件的"IsThemeActive"函数,获取系统版本号,动态加载系统库文件kernel32.dll,调用该库文件的IsWow64Process函数,查看操作系统是32位还是64位,获取系统版本信息之后释放到kernel32.dll,试图更改桌面壁纸,检测是否被处理调试状态,如果是则调用MessageBox弹出以下信息:"This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support.",调用SHGetDesktopFolder函数获得桌面文件夹的IShellFolder接口,注册一个窗口类名"AutoIt v3 GUI"及消息句柄"TaskbarCreated",完成之后创建隐藏的窗口,调用函数创建一个WORD图标的托盘,调用函数进入消息循环一直到接收到WM_NULL则跳出循环,拷贝自身到%System32%目录下备份多个病毒副本,分别重命名为fjwfbnyobd.exe、bomlfdbivbryevg.exe、iabzajxe.exe、ogwcoyjfpfnjn.exe(全部为随机病毒名),并将属性全部隐藏,在%System32%目录下创建一个名为mydoc.rtf的WORD文件,调用函数创建大量病毒进程,循环打开多个mydoc.rtf文件,使系统速度大大下降,该病毒一旦运行之后将无法结束其进程直到系统资源耗尽导致死机。

重点关注

Trojan/Win32.Agent.aofn[Dropper]。该病毒为木马类,该病毒图标为windows系统垃圾回收站图标,并且有完整的版本信息,其公司名为“360安全卫士”;病毒完全运行后,首先在%system32%目录下复制自身、释放注册表导入文件添加映像劫持,其目的是躲避杀软的主动防御;在%Windir%\Cursors下释放taskmgr.exe,并运行,用以迷惑用户误认为任务管理器进程,并分别在%Windir%\Cursors和%Windir%\system32\wbem目录进行本体备份;通过修改注册表添加病毒启动项和服务项,其中服务项名为“Microsoft Vista”,发行商为“360安全卫士”,并在描述中用“系统登陆初始界面,终止该服务将导致系统不能正常登陆”字样迷惑用户,使其不敢轻易终止该服务项;该病毒还通过修改注册表,使其在开关机时达到病毒自动运行的目的;病毒完全运行后删除自身;连接网络下载病毒文件;下载病毒中包含木马下载者类病毒会下载大量病毒,甚至导致计算机死机。

专家建议:  

1.在任务管理器中查看是否有陌生以及可疑的进程存在。  

2.安装安天防线反病毒软件。  

3.及时打全系统补丁。   

4.及时关注各种应用软件的漏洞并及时更新到应用软件的最新版本。   

5.在需要输入游戏账号信息时,打开安天防线反病毒软件的实时监控功能。  

6.注意经常更新安天防线反病毒软件的病毒库来阻止被病毒感染。

手动查杀方法:

针对以上病毒,其病毒变种非常之多。其应用技术各不相同所以没有一个固定的手动查杀方法, 只能告诉用户一些基本的杀毒方法,针对微软XP用户:

1.断开网络连接,进行以下操作。

2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。

3.查看是否有陌生程序的启动项,有则找到对应位置,使用安天防线反病毒软件查杀或手动删除。

4.打开“文件夹选项”中的查看隐藏文件等选项,这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改,解决办法使用安天防线反病毒软件扫描或者手动修改。

5.对于使用移动设备时,请先用右键点击查看,是否有“自动运行”项,如有,在使用前用安天防线反病毒软件扫描。

下周病毒预测:   

从本周的趋势观察,及据安天实验室捕获统计, 具有盗取能力的木马类和感染能力的病毒和蠕虫总体都有所上升,同时病毒类和蠕虫类也会伴有窃取用户信息的能力,提醒广大用户注意个人信息的保密,同时请用户及时升级病毒库,预防此类病毒侵袭。

专家预防建议:  

1.建立良好的安全习惯,不打开可疑邮件和可疑网站。   

2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。   

3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。   

4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。   

5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。   

6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。   

7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。  

8.下载软件后应用使用安天防线反病毒软件进行查杀,然后进行使用。

责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2009-07-21 09:03:58

2009-04-07 12:49:43

2009-06-01 14:17:12

2009-02-16 18:48:26

2009-02-24 11:23:12

2009-03-23 14:34:18

2009-02-16 18:33:25

2009-01-18 14:31:44

2009-02-24 10:06:25

2009-02-24 10:20:29

2009-02-02 18:48:14

2009-05-07 15:50:44

2009-06-01 16:55:43

2009-03-02 16:11:56

2009-02-02 13:29:41

2009-03-26 12:34:03

木马病毒周报

2009-07-27 19:29:58

2009-07-06 14:00:23

2009-06-29 10:44:54

2009-04-25 08:33:52

点赞
收藏

51CTO技术栈公众号