悠嘻猴 2008-9-9 15:05
音响技师 ——安铁诺专杀工具
[img]http://www.sanlen.com/upload/down_image/sl1220500367音响技师%20copy%20copy.jpg[/img]
[size=10.5pt][font=宋体]软件名称:音响技师 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件类别:专杀工具 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件版本: [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件大小:824KB [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]应用平台:Win2003/WinXP/Win2000/NT/ [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]更新时间:2008-09-04 16:25:16 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]授权方式:免费软件 [/font][/size][size=10.5pt][/size]
[img=539,8]file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/ksohtml/wps_clip_image1.png[/img]
[size=10.5pt][/size]
[size=10.5pt][b][font=宋体]软件说明[/font][/b][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[align=center][size=10.5pt][/size][/align]
[size=10.5pt][/size]
[size=12pt][b][font=宋体]病毒评估[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒名称: 音响技师木马下载者 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒名称英文:Win32.Troj.Downloader.vb.39949 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒类型:蠕虫型木马下载者 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]危险级别:★★★★ [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]传播方式:通过网站挂马传播 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]受影响的系统:Windows 2000, Windows XP, Windows Server 2003,VISTA [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]未受影响的系统:Windows 3.x, Macintosh, Unix, Linux [/font][/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]病毒危害:[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]该病毒关闭并劫持主流杀毒软件。并在系统文件夹释放病毒的衍生文件。病毒甚至劫持输入法程序。下载木马,并扫描同一局域网内的其他主机。同时,病毒建立后门,供黑客连接。[/font][/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]传播形式:[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt]1.[font=宋体]病毒首先在%system%以及%systemroot%目录释放病毒体。[/font][/size][size=10.5pt][/size]
[size=10.5pt]2.[font=宋体]修改注册表,将C:\WINDOWS\system32\ctfmon.exe设置成开机自启动。[/font][/size][size=10.5pt][/size]
[size=10.5pt]3.[font=宋体]修改注册表,用SoundMan.exe(病毒文件)劫持刚刚被设置成开机自启动的C:\WINDOWS\system32\ctfmon.exe。因为ctfmon.exe是系统正常文件,所以设置成开机自启动不会引起怀疑,继而再通过映像劫持技术暗中启动病毒文件。很具有迷惑性。[/font][/size][size=10.5pt][/size]
[size=10.5pt]4.[font=宋体]暗中添加后门帐号new1,密码:12369,并激活并提权至Administrators级别。[/font][/size][size=10.5pt][/size]
[size=10.5pt]5.[font=宋体]关闭部分杀毒软件,并劫持。[/font][/size][size=10.5pt][/size]
[size=10.5pt]6.[font=宋体]下载[img]http://www.315safe.com/bbs/www.xxxx.xxx.xx/xx/xx/gx.jpg[/img]至本地,此文件实为病毒文件。[/font][/size][size=10.5pt][/size]
[size=10.5pt]7.[font=宋体]顺带下载一款在线杂志软件,杂志软件无毒。[/font][/size][size=10.5pt][/size]
[size=10.5pt]8.[font=宋体]扫描网段内其他主机,并尝试攻击。[/font][/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]预防和处理办法:[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt]1.[font=宋体]不运行来历不明的软件; [/font][/size][size=10.5pt][/size]
[size=10.5pt]2.[font=宋体]使用专业的杀毒软件,并保持实时更新病毒库。 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]原文地址:[/font][/size][url=http://www.sanlen.com/down/sl_down_168.htm][size=10pt]http://www.sanlen.com/down/sl_down_168.htm[/size][/url][size=10.5pt][/size]
[size=10.5pt][/size]
[[i] 本帖最后由 悠嘻猴 于 2008-9-9 15:06 编辑 [/i]]