【51CTO.com 综合消息】Worm/Win32.Runouce.b。该恶意文件为蠕虫病毒,本恶意病毒文件进行了加密处理,病毒运行后、暴力搜索kernel32基址,动态获取大量API函数地址,创建互斥量名为“ChineseHacker-2”,防止多次运行产生的冲突,调用API函数隐藏打开病毒本体文件,创建病毒文件“runouce.exe、KillEDLL.DLL”到%system32%目录下,按节分别将病毒代码写入该文件中,试图将病毒DLL注入到所有进程中,并将属性设置为隐藏,添加注册表启动项、创建一个注册表监视的线程,如被删除,则立即重新写入病毒启动项,在系统目录下衍生“readme.eml”文件,该文件为病毒发送的邮件内容,该邮件内容为了躲避安全软件查杀便做了Base64加密处理,解密后得到的数据为PE文件(病毒体文件),病毒调用系统自带的Outlook Express发送恶意邮件,病毒通过共享和发送恶意邮件来传播自身。
重点关注:
Trojan/Win32.Mudrop.aui[Dropper]。该恶意代码文件为木马类,病毒运行后动获取大量API函数,创建病毒互斥量"907ERT"防止病毒多次运行产生冲突,遍历%System32%目录下是否存在"explorer.exe"文件,调用CMD命令将%Windir%、%Temp%目录给予当前用户完全控制权限,停止ekrn、AVP安全软件服务、结束大量安全软件进程,衍生病毒DLL文件到%System32%目录下,使用rundll32.exe启动病毒DLL文件,衍生病毒DLL到%Windir%目录下,动态获取病毒DLL的"FF"模块,进入该模块内后病毒判断自身进程是否在"explorer.exe"进程中,如是则创建hosts文件、劫持大量域名地址,在每个磁盘根目录下创建autorun.inf文件,添加注册表病毒服务创建病毒驱动文件,通过ipconfig all命令获取本机MAC地址连接网络发送信息,并下载大量病毒文件到本地。
专家建议:
1.在任务管理器中查看是否有陌生以及可疑的进程存在。
2.安装安天防线反病毒软件。
3.及时打全系统补丁。
4.及时关注各种应用软件的漏洞并及时更新到应用软件的最新版本。
5.在需要输入游戏账号信息时,打开安天防线反病毒软件的实时监控功能。
6.注意经常更新安天防线反病毒软件的病毒库来阻止被病毒感染。
手动查杀方法:
针对以上病毒,其病毒变种非常之多。其应用技术各不相同所以没有一个固定的手动查杀方法, 只能告诉用户一些基本的杀毒方法,针对微软XP用户:
1.断开网络连接,进行以下操作。
2.在“运行”中输入“msconfig”分别点击“启动”与“服务”标签。
3.查看是否有陌生程序的启动项,有则找到对应位置,使用安天防线反病毒软件查杀或手动删除。
4.打开“文件夹选项”中的查看隐藏文件等选项,这样可以看到隐藏的病毒体。如看不到隐藏文件表明注册表中显示隐藏文件项被修改,解决办法使用安天防线反病毒软件扫描或者手动修改。
5.对于使用移动设备时,请先用右键点击查看,是否有“自动运行”项,如有,在使用前用安天防线反病毒软件扫描。
下周病毒预测:
从本周的趋势观察,及据安天实验室捕获统计, 本周木马类病毒有所增多,该类病毒主要目的是窃取用户账号密码信息,提醒用户注意保护个人账号密码等信息。另外由于上周多家知名网站公布MPEG-2视频0day漏洞,在本周内利用该漏洞进行挂马行为会大规模爆发,提醒广大用户安装锐甲网页防火墙防御病毒的入侵。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
8.下载软件后应用使用安天防线反病毒软件进行查杀,然后进行使用。
