开开 2008-9-27 14:12
安天实验室2008年9月27日病毒预警
[size=14px]一、“偷取者”(Trojan-GameThief.Win32.OnLineGames.tkyl)威胁级别:[size=3][color=#ff0000]★★★[/color][/size][/size][size=3][color=#ff0000][size=14px]
[/size][/color][/size] 该病毒属于盗号木马,病毒运行后,首先在%WinDir%\MayaBaby目录下创建MayaBabyDll.dat、rizxw.dat;停止Beep服务,复制rizxw.dat替换原系统文件beep.sys,然后执行Beep服务,这样系统重新启动时,原系统服务Beep便会加载被替换了的驱动文件rizxw.dat;恢复SSDT,SSDT一旦被恢复到原始状态,可以使大多数杀软(如卡巴、瑞星、Tiny等)监控全部失效;随后复制自身到%WinDir%\MayaBaby下,新增注册表项,创建病毒服务network services,以达到随机启动病毒文件的目的;通过给当前系统执行的进程拍快照,来判断是否存在AVP.exe、ravmon.exe、ravtask.exe、ravstub.exe、ravmond.exe、rfwsrv.exe、rfwstub.exe、rfwmain.exe、360tray.exe、360safe.exe进程,如存在便终止以上进程;在%System32%下生成me.bat,用于删除原病毒文件和自身。
[size=14px]二、“拉马斯ad”(Trojan-Downloader.Win32.Todon.ad)威胁级别:[size=3][color=#ff0000]★★★[/color][/size][/size][size=14px]
[/size] 该病毒属木马类,病毒运行后将检测进程列表,关闭指定进程;复制自身到%ProgameFiles%目录下,更名为meex.exe,衍生文件到%Program Files%\Common Files\Microsoft Shared和%Program Files%\Common Files\System目录下,并分别衍生autorun.inf文件,修改注册表,添加两处启动项,使病毒文件随系统启动,删除安全模式相关注册表项,使系统无法进入安全模式,修改注册表使系统无法显示具有系统属性的隐藏文件,并删除“文件夹选项”中显示系统文件的控制项“隐藏受保护的操作系统文件(推荐)”,禁用系统帮助和系统防火墙服务;针对安全软件添加大量映像劫持,企图下载病毒文件以及病毒列表,失败;程序运行后将检测当前活动窗口标题,如含有指定字符串,病毒程序将关闭该窗口,程序运行完毕后删除自身。
[url=http://www.antiy.com/][color=#13688d][size=14px][b]安天[/b][/size][/color][/url][b][size=14px]反病毒工程师建议:[/size]
[/b] 1.最好安装[url=http://www.antiyfx.com/][color=#13688d]安天防线[/color][/url]防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.[url=http://www.antiy.com/][color=#13688d]安天[/color][/url]反病毒应急中心及时进行了病毒库更新,升级[url=http://www.antiyfx.com/][color=#13688d]安天防线[/color][/url]到2008年9月27日的病毒库即可查杀以上病毒;如未安装[url=http://www.antiyfx.com/][color=#13688d]安天防线[/color][/url],请[b][color=#13688d][u][url=http://222.171.15.77/download/AGB6Install.exe][b][color=#13688d][u]点击此处[/u][/color][/b][/url][/u][/color][/b]免费下载最新版安天防线来防止病毒入侵。
[align=right]出处:[url=http://www.antiy.com/][color=#13688d]安天实验室[/color][/url][/align]