|
金山毒霸:小心“Flash特务”等病毒变种
东方网6月7日消息:“Flash特务”(Win32.Troj.SecretAgent.cd.200704),这是个利用FLASH漏洞进行传播的病毒下载器。它进入电脑后会破坏多款国产杀毒软件和安全辅助软件的正常运行,然后下载盗号木马到系统中运行。运行完毕后就完全删除自己的全部文件,不留下一点痕迹。
“键盘记录员变种113156”(Win32.PSWTroj.OnlineGames.113156),这是一个盗号木马程序的变种。它会记录用户通过键盘输入的各种信息,将它们发送给病毒作者指定的远程地址。病毒作者在后期进行一些处理,就可以筛选出其中的帐号和密码。
一、“Flash特务”(Win32.Troj.SecretAgent.cd.200704)威胁级别:★★
这个病毒的主文件名为NTDUBECT.Exe,当病毒的原始文件Orz.exe在其它FLASH漏洞下载器的帮助下进入电脑后,NTDUBECT.Exe就会被释放到当前磁盘分区的根目录。它首先会尝试修改系统时间为2000年,以检测当前系统中是否有装有卡巴斯基7.0版,若有,病毒便停止运行。
如果成功修改了系统时间,就表明用户系统中所安装的卡巴斯基是旧版本,而随着时间的修改,这些版本的卡巴自然也就会瘫痪。当这个步骤顺利完成,或者用户没有安装卡巴,病毒就会修改注册表、禁用系统安全中心和windows防火墙、禁用系统还原等系统自身的安全模块。
接着,病毒利用自己的另一个文件antir.Exe和驱动文件antir.Sys,检测系统中是否有金山毒霸和瑞星的文件。如有,就查询金山毒霸和瑞星主要文件的相关键值,从而得到它们的安装路径,然后释放出与它们主要文件相同名称的文件,进行替换。
当确信解决掉用户系统中的以上杀毒软件和安全辅助软件,此毒就在系统临时目录%temp%\中释放出文件setup.Exe并执行。这个文件是一个木马下载器,它会在后台悄悄连接病毒作者指定的远程地址,下载大量盗号木马运行。
下载工作完成,病毒就调用自己的配置信息,恢复原来的时间。并根据配置信息的不同,决定是否对系统中的EXE文件建立映像劫持。最后,无论运行是否成功,病毒都会执行自动删除指令,把自己的原始文件、主文件、驱动文件等完全删除。不留下一点痕迹。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-secretagent-cd-200704-50651.html
二、“键盘记录员变种113156”(Win32.PSWTroj.OnlineGames.113156)威胁级别:★
这个盗号木马已经不是第一次..
阅读全文>>
|
