• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

劫持大量殺毒軟體的「機器狗變種53248」

「機器狗變種53248」(Win32.Troj.Agent.dd.53248),這是一個機器狗變種。病毒運行後修改註冊表,映像劫持大量安全軟體,導致它們無法正常運行。同時它還釋放驅動文件,實現自保護。最後,病毒會通過網址獲得木馬種植者提供的最新病毒列表,下載大量木馬至用戶計算機。

「秘密記錄員」(Win32.Troj.Agent.um.401408),該木馬運行後,監視系統是否運行有安全軟體(如360、金山反間諜、卡巴斯基等),如果有則關閉,並禁用任務管理器。同時,它會監視用戶的QQ聊天信息和打開系統後門,便於黑客進行惡意行為。

一、「機器狗變種53248」(Win32.Troj.Agent.dd.53248) 威脅級別:★★

病毒進入系統後,在系統盤中釋放出兩個病毒文件,分別為%WINDOWS%/system32/目錄下的winsrv32.dll,以及%WINDOWS%/system32//drivers/目錄下的ati32srv.sys。其中的ati32srv.sys特別值得注意,因為病毒會將它的相關資料寫入註冊表,恢復系統的SSDT表,這樣就可能導致殺毒軟體的「主動防禦」和「自我保護」功能失效。

接著,病毒以極快的速度繼續修改系統註冊表,對大量的殺毒軟體和安全輔助軟體實施印象劫持,造成它們失效。對於那些不需經過註冊表就能使用的綠色安全產品,病毒也採取監視系統進程的方式來阻止其運行。由於病毒的「黑名單」極為龐大,幾乎目前所有的殺毒軟體及安全輔助軟體都會「犧牲」。

完成以上步驟後,病毒悄悄連接http://xxx.w**ala.info/c**hi/、ttp://xxx.f**liu001.info/c**hi/、ttp://a.x**yige.com/等多個由木馬種植者指定的網址,獲取最新的病毒下載列表,然後根據列表上的地址去下載大量其它木馬至用戶計算機運行,引發更多無法估計的系統安全問題。

二、「秘密記錄員」(Win32.Troj.Agent.um.401408) 威脅級別:★★

病毒會在系統盤中釋放出五個病毒文件,分別為%WINDOWS%目錄下的mwinsys.ini、%WINDOWS%/system/目錄下的AlxRes070826.exe、%WINDOWS%/system32/inf/目錄下的scrsys070826.scr和scrsys16_070826.dll,以及%WINDOWS%/system32/目錄下的winsys16_070826.dll和winsys32_070826.dll。另外,如果用戶系統中有D盤,病毒會在D盤根目錄下生成一個名為myplayer.com的病毒文件。

文件釋放完畢後,病毒將自己的相關資料寫入系統註冊表啟動項,讓自己能隨系統桌面進程Explorer.exe一起啟動。如果能成功啟動,病毒就會查找並關閉金山毒霸、卡巴斯基、360安全衛士等安全軟體,並禁止任務管理器啟動。

隨後,病毒在系統中查找IE瀏覽器的進程iexplore.exe、騰訊TT瀏覽器的進程TTraveler.exe,以及遨遊瀏覽器的進程maxthon.exe進程,如果有則創建遠程線程注入其中。同時,它監視用戶的QQ聊天信息,將其記錄後保存記錄到本地。最後,該病毒會打開系統後門,等待木馬種植者(黑客)的遠程連接。

如果黑客成功入侵用戶系統,除能查看到用戶QQ聊天記錄外,還可以進行任何其想要的操作,這可能給用戶帶來無法估計的威脅和麻煩。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

(

加入好友line@vga9721w
線上客服
@hd119