开开 2008-8-29 13:35
安天实验室2008年8月29日病毒预警
[size=14px]一、“U盘寄生虫enw”(Worm.Win32.AutoRun.enw)威胁级别:[size=3][color=#ff0000]★★★★[/color][/size][/size]
病毒的图标为一个文件夹用来诱骗用户点击运行,病毒运行后释放ASUS.exe、ACER.exe、MuTemp.exe、jxxgmw.exe、jxxgmw.nls到system32文件夹下,其中ASUS.exe、ACER.exe、MuTemp.exe是病毒的副本文件,在病毒运行时同时被运行,实现进程互锁。jxxgmw.exe和jxxgmw.nls是病毒文件的备份;病毒在各磁盘分区创建autorun.inf和病毒文件,用以达到用U盘等移动存储设备传播的目的;病毒运行后释放beep.sys文件,加载此文件,创建系统服务用来恢复系统的ssdt以此来关闭杀毒软件的主动防御;病毒修改、删除注册表项,使隐藏文件无法显示,并使用户无法更改文件夹选项。病毒添加注册表,添加自启动项,添加大量的映像劫持项,用来禁止系统工具如注册表编辑器、杀毒软件和其他安全工具的运行;病毒连接网络更新自身;病毒运行后自删除。
[size=14px]二、“偷取者dzl”(Trojan-GameThief.Win32.OnLineGames.dzl)威胁级别:[size=3][color=#ff0000]★★★[/color][/size][/size]
该病毒运行后复制自身到%System32%下,命名为 severe.exe kmawii.exe kmawii.dll同时在%System32%\drivers下重新命名为qxctrt.exe conime.exe,文件属性全部为隐藏。修改注册表,添加自启动项、添加大量映像劫持项,劫持一些杀毒软件及注册表编辑工具等。使用net stop命令,结束可能存在的杀毒软件服务。在进程中添加进程kmawii.exe severe.exe conime.exe,目地是加载病毒DLL用来监控鼠标击键。修改系统hosts文件中的内容,用来屏蔽杀毒软件厂商的网站。文件属性设置为隐藏,释放病毒文件hx1.bat修改文件创建时间,修改完后删除自身。使用户不易查觉。
[url=http://www.antiy.com/][color=#13688d][size=14px][b]安天[/b][/size][/color][/url][b][size=14px]反病毒工程师建议:[/size]
[/b] 1.最好安装[url=http://www.antiyfx.com/][color=#13688d]安天防线[/color][/url]防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.[url=http://www.antiy.com/][color=#13688d]安天[/color][/url]反病毒应急中心及时进行了病毒库更新,升级[url=http://www.antiyfx.com/][color=#13688d]安天防线[/color][/url]到2008年8月29日的病毒库即可查杀以上病毒;如未安装[url=http://www.antiyfx.com/][color=#13688d]安天防线[/color][/url],请[b][color=#13688d][u][url=http://222.171.15.77/download/AGB6Install.exe][b][color=#13688d][u]点击此处[/u][/color][/b][/url][/u][/color][/b]免费下载最新版安天防线来防止病毒入侵。
[align=right]出处:[url=http://www.antiy.com/][color=#13688d]安天实验室[/color][/url][/align]