开开 2008-9-25 11:25
安天实验室2008年9月25日病毒预警
[size=14px]一、“偷取者”(Trojan-GameThief.Win32.OnLineGames.soyg)威胁级别:[size=3][color=#ff0000]★★★[/color][/size][/size][size=3][color=#ff0000][size=14px]
[/size][/color][/size] 该病毒为盗取网络游戏彩虹岛账号信息木马。该病毒运行后删除自身,调用函数GetWindowsDirectoryA来获取Windows所在的目录并在%Windir%\Fonts中衍生病毒文件edchakae.dll,修改创建时间为2004-8-8,属性设置为隐藏。注册CLSID值,添加HOOK项。病毒运行后衍生.bat文件,病毒运行完进行自删除。
[size=14px]二、“侵入者-间谍”(Trojan-Spy.Win32.Pophot.cme)威胁级别:[size=3][color=#ff0000]★★★[/color][/size][/size][size=14px]
[/size] 该病毒为间谍类木马,病毒运行后查找CabinetWClass类名的窗口,找到后调用API函数枚举该窗口的子窗口,通过调用SendMessageA向该窗口发送消息并在该窗口捕获消息,获取进程句柄修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭,在%System32%\目录下建立文件夹inf并将%System32%\目录下的rundll32.exe拷贝到inf目录下重命名为svchost.exe,衍生病毒文件wftadfi16_080921a.dll、dcbdcatys32_080921a.dll(该病毒文件为查找雅虎和IE保护选项的窗口,并按提示做出相对的回应)到%Windir%目录下,衍生病毒文件sppdcrs080921.scr(该文件为病毒自身)、scsys16_080921.dll(该文件模拟鼠标点击操作以达到躲避病毒安全软件的主动提示,模拟点击操作为允许)到%System32%\inf目录下,添加注册表启动项目使用rundll32.exe加载病毒DLL文件,并在%Windir%目录下创建配置文件tawisys.ini存放衍生的病毒路径,衍生mywfhit.ini到System32目录下mywfhit.ini文件记录病毒更新情况,病毒会不定期开启iexplore.exe连接网络下载病毒文件更新自身。
[url=http://www.antiy.com/][color=#13688d][size=14px][b]安天[/b][/size][/color][/url][b][size=14px]反病毒工程师建议:[/size]
[/b] 1.最好安装[url=http://www.antiyfx.com/][color=#13688d]安天防线[/color][/url]防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.[url=http://www.antiy.com/][color=#13688d]安天[/color][/url]反病毒应急中心及时进行了病毒库更新,升级[url=http://www.antiyfx.com/][color=#13688d]安天防线[/color][/url]到2008年9月25日的病毒库即可查杀以上病毒;如未安装[url=http://www.antiyfx.com/][color=#13688d]安天防线[/color][/url],请[b][color=#13688d][u][url=http://222.171.15.77/download/AGB6Install.exe][b][color=#13688d][u]点击此处[/u][/color][/b][/url][/u][/color][/b]免费下载最新版安天防线来防止病毒入侵。
[align=right]出处:[url=http://www.antiy.com/][color=#13688d]安天实验室[/color][/url][/align]