病毒周报(081110至081116)
生活随笔
收集整理的這篇文章主要介紹了
病毒周报(081110至081116)
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
動物家園計算機安全咨詢中心([url]www.kingzoo.com[/url])反病毒斗士報牽手廣州市計算機信息網絡安全協會([url]www.cinsa.cn[/url])發布:
本周重點關注病毒:
“掃蕩波”(Worm.SaodangBo.a.94208)??威脅級別:★★★
? ?? ? 微軟MS08-067漏洞公布之后,利用該漏洞發動***的惡意程序大量涌現。
? ?? ? 它利用網頁掛馬進行傳播,病毒進入電腦后,立即對局域網內所有電腦進行掃描,只要發現它們未打MS08-067漏洞的補丁,就立即將其攻陷,往里面下載自己的最新版本和大量的其它惡意程序,主要是各類下載器和盜號***。
? ?? ? 如果對網內電腦的***失敗,這些電腦上則會出現svchost.exe出錯的提示,說“svchost.exe中發生未處理的win32異常”,同時網絡連接中斷。用戶要是發現自己的電腦中出現此情況,就說明您電腦所處的局域網內有機器中毒。這時候,您的電腦并沒有中毒,但千萬不可以有僥幸心理,應該立即打上MS08-067補丁,因為該毒的***不會僅僅一次,而且隨著病毒作者對它進行升級,它會擁有更強的***力。
? ?? ? 該毒共含有四個子文件,分別是aaa.bat、mrosconfig.exe、vista.exe、qqq.sys。進入系統后,它首先調用vista.exe對本網段(C類)范圍內的所有計算機的445端口進行掃描。之后,挑選出可以連上445端口的計算機保存到一個列表文件中。然后,再調用mrosconfig.exe對列表文件中的計算機發送RPC請求,使遠程計算機中的svchost.exe中解析RPC路徑時溢出,在遠程計算機中下載一個名為ko.exe的文件并執行。
? ?? ?ko.exe文件是另一個下載器,它會下載更多的其它惡意程序安裝到被***的計算機上。目前動物家園反病毒專家在其下載清單中已發現機器狗***和針對《QQ三國》、《完美世界》等網游的盜號***。
“破壞王盜號器34816”(Win32.PSWTroj.Magania.34816)??威脅級別:★★
? ?? ? 該毒采用消息攔截的方式來盜取QQ游戲的帳號和密碼,它在釋放出子文件后,就會建立鉤子,攔截用戶輸入的帳號信息。
? ?? ?病毒子文件gdipro.dll、rpcss.dll、sys17002.dll會被釋放到%WINDOWS%\SYSTEM32\目錄下,并寫入注冊表啟動項,實現開機自啟動。其中gdipro.dll和rpcss.dll會被用于替換掉系統自身一個名為rpcss.dll的文件及其備份,使得病毒能夠躲避系統安全模塊和安全軟件的查殺。但也正因如此,當查殺該毒時,系統就可能因失去rpcss.dll文件而運行異常,比如網絡中斷、無法粘貼文檔等。
? ?? ? 而sys17002.dll則負責盜取帳號信息,盜取成功后就將贓物加密發送到病毒作者指定的地址。
? ?? ? 用戶如果進行手動查殺,需要將上述幾個文件全部刪除,然后將系統文件“C:\WINDOWS\system32\srpcss.dll”改名為“C:\WINDOWS\system32\rpcss.dll”,以恢復系統自身功能。同時,需對注冊表做以下兩項修改:
將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\ObjectName”改為“NT AUTHORITY\NetworkService”。
將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\Parameters\ServiceDll”改為“%SystemRoot%\system32\rpcss.dll”
? ?? ? 完成以上步驟后,重啟電腦,然后利用殺毒軟件全盤查殺一次,系統就可以完全恢復正常了。
“后門粉碎器49152”(Win32.Troj.Agent.49152)??威脅級別:★★
? ?? ???該毒的主要危害是開啟用戶電腦的一些敏感端口,與病毒作者設定好的***服務器進行連接,便于***進行***。
為擴大自己的感染范圍,該毒采用了AUTO技術進行傳播。每當感染了一臺新的電腦,該毒就會在所有的磁盤分區中建立副本RavMon.exe,并用AutoRun.inf指向它。只要用戶在中毒電腦上使用U盤等移動存儲設備,該毒就會立即將移動設備感染,實現自動傳播。另外,有跡象表明,該毒的部分變種會感染系統中某些格式的文件。
? ?? ?病毒會在系統中釋放出多個子文件,比如%WINDOWS%目錄下的SVCHOST.EXE和SVCHOST.INI,以及%WINDOWS%\TEMP\目錄下的9988.tmp。各文件會相互配合,繞開監控、奪取權限,最終攻陷用戶電腦。
動物家園計算機安全咨詢中心反病毒工程師建議:
? ?1、從其他網站下載的軟件或者文件,打開前一定要注意檢查下是否帶有病毒。
??
? ?2、別輕易打開陌生人郵件及郵件附件、連接等。
? ?3、用戶應該及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦。
? ?4、盡量把系統帳號密碼設置強壯點,勿用空密碼或者過于簡單。
? ?5、發現異常情況,請立即更新你的反病毒軟件進行全盤查殺或者登陸bbs.kingzoo.com(安全咨詢中心)咨詢
本周重點關注病毒:
“掃蕩波”(Worm.SaodangBo.a.94208)??威脅級別:★★★
? ?? ? 微軟MS08-067漏洞公布之后,利用該漏洞發動***的惡意程序大量涌現。
? ?? ? 它利用網頁掛馬進行傳播,病毒進入電腦后,立即對局域網內所有電腦進行掃描,只要發現它們未打MS08-067漏洞的補丁,就立即將其攻陷,往里面下載自己的最新版本和大量的其它惡意程序,主要是各類下載器和盜號***。
? ?? ? 如果對網內電腦的***失敗,這些電腦上則會出現svchost.exe出錯的提示,說“svchost.exe中發生未處理的win32異常”,同時網絡連接中斷。用戶要是發現自己的電腦中出現此情況,就說明您電腦所處的局域網內有機器中毒。這時候,您的電腦并沒有中毒,但千萬不可以有僥幸心理,應該立即打上MS08-067補丁,因為該毒的***不會僅僅一次,而且隨著病毒作者對它進行升級,它會擁有更強的***力。
? ?? ? 該毒共含有四個子文件,分別是aaa.bat、mrosconfig.exe、vista.exe、qqq.sys。進入系統后,它首先調用vista.exe對本網段(C類)范圍內的所有計算機的445端口進行掃描。之后,挑選出可以連上445端口的計算機保存到一個列表文件中。然后,再調用mrosconfig.exe對列表文件中的計算機發送RPC請求,使遠程計算機中的svchost.exe中解析RPC路徑時溢出,在遠程計算機中下載一個名為ko.exe的文件并執行。
? ?? ?ko.exe文件是另一個下載器,它會下載更多的其它惡意程序安裝到被***的計算機上。目前動物家園反病毒專家在其下載清單中已發現機器狗***和針對《QQ三國》、《完美世界》等網游的盜號***。
“破壞王盜號器34816”(Win32.PSWTroj.Magania.34816)??威脅級別:★★
? ?? ? 該毒采用消息攔截的方式來盜取QQ游戲的帳號和密碼,它在釋放出子文件后,就會建立鉤子,攔截用戶輸入的帳號信息。
? ?? ?病毒子文件gdipro.dll、rpcss.dll、sys17002.dll會被釋放到%WINDOWS%\SYSTEM32\目錄下,并寫入注冊表啟動項,實現開機自啟動。其中gdipro.dll和rpcss.dll會被用于替換掉系統自身一個名為rpcss.dll的文件及其備份,使得病毒能夠躲避系統安全模塊和安全軟件的查殺。但也正因如此,當查殺該毒時,系統就可能因失去rpcss.dll文件而運行異常,比如網絡中斷、無法粘貼文檔等。
? ?? ? 而sys17002.dll則負責盜取帳號信息,盜取成功后就將贓物加密發送到病毒作者指定的地址。
? ?? ? 用戶如果進行手動查殺,需要將上述幾個文件全部刪除,然后將系統文件“C:\WINDOWS\system32\srpcss.dll”改名為“C:\WINDOWS\system32\rpcss.dll”,以恢復系統自身功能。同時,需對注冊表做以下兩項修改:
將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\ObjectName”改為“NT AUTHORITY\NetworkService”。
將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\Parameters\ServiceDll”改為“%SystemRoot%\system32\rpcss.dll”
? ?? ? 完成以上步驟后,重啟電腦,然后利用殺毒軟件全盤查殺一次,系統就可以完全恢復正常了。
“后門粉碎器49152”(Win32.Troj.Agent.49152)??威脅級別:★★
? ?? ???該毒的主要危害是開啟用戶電腦的一些敏感端口,與病毒作者設定好的***服務器進行連接,便于***進行***。
為擴大自己的感染范圍,該毒采用了AUTO技術進行傳播。每當感染了一臺新的電腦,該毒就會在所有的磁盤分區中建立副本RavMon.exe,并用AutoRun.inf指向它。只要用戶在中毒電腦上使用U盤等移動存儲設備,該毒就會立即將移動設備感染,實現自動傳播。另外,有跡象表明,該毒的部分變種會感染系統中某些格式的文件。
? ?? ?病毒會在系統中釋放出多個子文件,比如%WINDOWS%目錄下的SVCHOST.EXE和SVCHOST.INI,以及%WINDOWS%\TEMP\目錄下的9988.tmp。各文件會相互配合,繞開監控、奪取權限,最終攻陷用戶電腦。
動物家園計算機安全咨詢中心反病毒工程師建議:
? ?1、從其他網站下載的軟件或者文件,打開前一定要注意檢查下是否帶有病毒。
??
? ?2、別輕易打開陌生人郵件及郵件附件、連接等。
? ?3、用戶應該及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦。
? ?4、盡量把系統帳號密碼設置強壯點,勿用空密碼或者過于簡單。
? ?5、發現異常情況,請立即更新你的反病毒軟件進行全盤查殺或者登陸bbs.kingzoo.com(安全咨詢中心)咨詢
轉載于:https://blog.51cto.com/kingzoo/111324
總結
以上是生活随笔為你收集整理的病毒周报(081110至081116)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: pku3176--Cow Bowling
- 下一篇: 路由配置命令全集