注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

【信息化之家】--谢元泰的博客圈

DYX信息化工程---信息化管理的革命与创新!人财物、产供销、科研一体化管理

 
 
 

日志

 
 
关于我

谢元泰,北京大学毕业,教授、信息化CIO、DYX发明者,核工业西南物理研究院信息化研究员、核工业情报系统先进工作者、英莱文化传播公司董事长,【中国专家大词典】、【世界名人录】、【21世纪人才大词典】等16种工具书收录。热衷于对信息、信息化工程、信息化管理、企业信息化、电子政务、电子商务、科研信息化、图书馆信息化、学校信息化、信息资源共享、一体化管理、情报检索(搜索引擎)、【“一卡通”万能信息化管理系统(DYX)】等方面的研究,发表了60多篇论文,著有【现代信息化管理】等6部专著

网易考拉推荐

金山毒霸:小心“Flash特务”等病毒变种   

2008-06-09 09:51:17|  分类: 网摘、精品 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

金山毒霸:小心“Flash特务”等病毒变种

    东方网6月7日消息:“Flash特务”(Win32.Troj.SecretAgent.cd.200704),这是个利用FLASH漏洞进行传播的病毒下载器。它进入电脑后会破坏多款国产杀毒软件和安全辅助软件的正常运行,然后下载盗号木马到系统中运行。运行完毕后就完全删除自己的全部文件,不留下一点痕迹。

  “键盘记录员变种113156”(Win32.PSWTroj.OnlineGames.113156),这是一个盗号木马程序的变种。它会记录用户通过键盘输入的各种信息,将它们发送给病毒作者指定的远程地址。病毒作者在后期进行一些处理,就可以筛选出其中的帐号和密码。

  一、“Flash特务”(Win32.Troj.SecretAgent.cd.200704)威胁级别:★★

  这个病毒的主文件名为NTDUBECT.Exe,当病毒的原始文件Orz.exe在其它FLASH漏洞下载器的帮助下进入电脑后,NTDUBECT.Exe就会被释放到当前磁盘分区的根目录。它首先会尝试修改系统时间为2000年,以检测当前系统中是否有装有卡巴斯基7.0版,若有,病毒便停止运行。

  如果成功修改了系统时间,就表明用户系统中所安装的卡巴斯基是旧版本,而随着时间的修改,这些版本的卡巴自然也就会瘫痪。当这个步骤顺利完成,或者用户没有安装卡巴,病毒就会修改注册表、禁用系统安全中心和windows防火墙、禁用系统还原等系统自身的安全模块。

  接着,病毒利用自己的另一个文件antir.Exe和驱动文件antir.Sys,检测系统中是否有金山毒霸和瑞星的文件。如有,就查询金山毒霸和瑞星主要文件的相关键值,从而得到它们的安装路径,然后释放出与它们主要文件相同名称的文件,进行替换。

  当确信解决掉用户系统中的以上杀毒软件和安全辅助软件,此毒就在系统临时目录%temp%\中释放出文件setup.Exe并执行。这个文件是一个木马下载器,它会在后台悄悄连接病毒作者指定的远程地址,下载大量盗号木马运行。

  下载工作完成,病毒就调用自己的配置信息,恢复原来的时间。并根据配置信息的不同,决定是否对系统中的EXE文件建立映像劫持。最后,无论运行是否成功,病毒都会执行自动删除指令,把自己的原始文件、主文件、驱动文件等完全删除。不留下一点痕迹。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-secretagent-cd-200704-50651.html

  二、“键盘记录员变种113156”(Win32.PSWTroj.OnlineGames.113156)威胁级别:★

  这个盗号木马已经不是第一次出现在预警播报中,我们曾多次发出关于该毒的预警。但至今,该毒的变种依然大量出现。虽然毒霸可以彻底将其查杀,但由于此毒变种较多,一些未安装毒霸的电脑用户可能受害,因此再次发出预警。

  这个病毒拥有三个病毒文件,分别为%WINDOWS%\system32\目录下的tavo.exe和tavo0.dll,以及系统临时目录%Temp%\下一个随机命名的.dll文件。其中tavo.exe是病毒主文件,它会被加进注册表的启动项,使病毒实现开机自启动。而tavo0.dll则用于在病毒运行起来后注入系统桌面进程Explorer.exe和其它所有的非系统进程当中。

  病毒会监视用户的鼠标,键盘操作,从而获得用户的游戏帐号和密码信息。当然,其它所有的帐号和密码也会被记录。成功获取信息之后,病毒便将信息加密后以邮件的形式通过SMTP和网页收信空间发送给木马作者。之后,它就删除自己的原始文件,试图躲避用户查杀。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-pswtroj-onlinegames-113156-50652.html

  金山反病毒工程师建议:

  1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

  2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。

  金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年6月7的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。

Tags: Flash特务   病毒变种   键盘记录员   113156   金山毒霸   杀毒软件  

类别: 信息化灾难 |  评论(0) |  浏览(69) |  收藏

  评论这张
 
阅读(232)| 评论(6)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017