提醒您注意:在今天的病毒中“砸波”变种cvb和“变异体”变种bfo值得关注。 网管网ofAdmin.Com
一、今日高危病毒简介及中毒现象描述: IT技术网Www.ofAdmin.Com
TrojanSpy.Zbot.cvb“砸波”变种cvb是“砸波”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“砸波”变种cvb运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“ntos.exe”(文件属性设置为“系统、隐藏、只读、存档”),以此替换系统文件“ntos.exe”,从而实现开机自启。遍历当前系统中所有的进程,一旦发现某些安全软件正在运行,便会尝试将其结束,致使被感染系统失去安全软件的保护。“砸波”变种cvb运行时,会将恶意代码注入到新创建的“winlogon.exe”进程中隐秘运行。在被感染系统后台连接骇客指定的URL“https://onlineeast.banko*merica.com/cgi-bin/ias/*/GotoWelcome”,获取恶意程序下载列表,然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“砸波”变种cvb会通过修改被感染系统注册表启动项的方式实现开机自启。 IT技术网Www.ofAdmin.Com
TrojanDownloader.Geral.bfo“变异体”变种bfo是“变异体”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“变异体”变种bfo运行后,会将被感染系统“%SystemRoot%\system32\”文件夹下的“wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“opeB2.tmp”.另外,还会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意驱动程序“prJvV.DRV”.“变异体”变种bfo运行时,会在被感染系统的后台连接骇客指定的站点“http://10.y*10.cn/mm/”,下载恶意程序“e4353609t.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“变异体”变种bfo会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。 网管Www.ofAdmin.Com
二、针对以上病毒,比特网安全频道建议广大用户:
IT技术网Www.ofAdmin.Com
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 网管网ofAdmin.Com
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
网管Www.ofAdmin.Com
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
IT技术网Www.ofAdmin.Com
截至记者发稿时止,江民的病毒库已更新,并能查杀上述病毒。感谢江民科技为比特网安全频道提供病毒信息。
网管论坛bbs.ofAdmin.Com
原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/392/11217392.shtml
上一篇:没有了
下一篇:没有了
相关文章
编辑推荐 热点关注
今日更新 24小时热门信息
您现在的位置: |
华夏网管站 
佚名 
2010-04-16 
