开开 2008-9-3 11:36
安天实验室2008年9月3日病毒预警
[size=14px]一、“偷取者spbg”(Trojan-GameThief.Win32.OnLineGames.spbg)威胁级别:[size=3][color=#ff0000]★★★[/color][/size][/size]
该病毒为盗取网络游戏武林外传账号信息木马。病毒运行后删除自身,衍生病毒文件到%System32%下,并把文件属性设置为隐藏。查找Verclsid.exe找到后调用DeleteFile函数进行删除。遍历进程搜索“AVP.exe”,如找到则释放winsYs.reg文件,用来添加病毒HOOK启动项,如找不到“AVP.exe”进程,调用GetSystemDirectoryA 查找Windows所在的目录。找到%System32%目录释放病毒文件tf0等待添加病毒HOOK项完毕后将tf0文件删除,调用LoadLibraryA将病毒DLL加载到进程,试图将病毒DLL文件注入到除smss.exe、csrss.exe、winlogon.exe以外所有进程。
[size=14px]二、“灰鸽子”(Backdoor.Win32.Hupigon.dlsi)威胁级别:[size=3][color=#ff0000]★★★★[/color][/size][/size]
该病毒为远程控制后门类,病毒运行之后创建互斥量,防止病毒多次运行,拷贝病毒自身并衍生DLL文件到%Windir%目录下重命名为:Utility.exe、Mangerr.DLL,创建病毒服务,添加病毒启动项,调用ChangeServiceConfig2函数改变文件病毒文件描述,释放BAT文件到%Windir%目录下等待病毒执行完毕后用于删除病毒自身,开启iexplore.exe进程进行通信,连接希网域名等待接收病毒作者发送的控制指令,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。
[url=http://www.antiy.com/][color=#13688d][size=14px][b]安天[/b][/size][/color][/url][b][size=14px]反病毒工程师建议:[/size]
[/b] 1.最好安装[url=http://www.antiyfx.com/][color=#13688d]安天防线[/color][/url]防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.[url=http://www.antiy.com/][color=#13688d]安天[/color][/url]反病毒应急中心及时进行了病毒库更新,升级[url=http://www.antiyfx.com/][color=#13688d]安天防线[/color][/url]到2008年9月3日的病毒库即可查杀以上病毒;如未安装[url=http://www.antiyfx.com/][color=#13688d]安天防线[/color][/url],请[b][color=#13688d][u][url=http://222.171.15.77/download/AGB6Install.exe][b][color=#13688d][u]点击此处[/u][/color][/b][/url][/u][/color][/b]免费下载最新版安天防线来防止病毒入侵。
出处:[url=http://www.antiy.com/][color=#13688d]安天实验室[/color][/url] [url=http://www.antiy.com/cn/security/2008/s080903_001.htm]http://www.antiy.com/cn/security/2008/s080903_001.htm[/url]