【賽迪網-IT技術報道】「木馬下載器73728」(Win32.Troj.Delf.se.73728),這是一個木馬下載器。它本身對系統安全沒有破壞性,但會利用IE瀏覽器建立遠程服務,下載其它木馬到用戶電腦上運行。
「黑冰下載器變種102400」(Worm.VcingT.w.102400),這是一個黑冰木馬下載器的變種。它會破壞一些安全工具和殺毒軟體的正常運行,並反覆寫註冊表來破壞系統安全模式。病毒還會在每個分區下釋放 AUTORUN.INF 來達到自運行。在發作後期,它會下載大量其它木馬程序到用戶電腦上。
一、「木馬下載器73728」(Win32.Troj.Delf.se.73728) 威脅級別:★
這是一個威脅級別較低的木馬下載器,它對系統不具備直接的破壞能力。病毒進入用戶的電腦後,在系統盤根目錄下釋放出病毒文件 temp.exe ,從名稱上看,一些對系統不熟悉的用戶可能會以為它是系統的臨時文件,因此掉以輕心。
文件釋放完畢後,病毒會立即運行,查找用戶正在使用中的IE瀏覽器窗口,如果查找到則會為該窗口對應的進程創建遠線程,利用IE瀏覽器的進程空間來實現隱蔽的下載。
經毒霸分析人員的檢查,該病毒會從http://w*8.vg/這個由木馬種植者指定的地址一個名為 ss.exe 的病毒文件,這個病毒文件其實是另一個下載木馬。最終的下載動作其實是由它來完成。一旦ss.exe 成功運行,就會有大量的盜號木馬等惡意程序進入到本地機器執行。引發無法預計的系統安全事故。
二、「黑冰下載器變種102400」(Worm.VcingT.w.102400) 威脅級別:★★
昨日毒霸的分析師截獲一個黑冰病毒的最新變種,這是一個具備對抗安全軟體能力的木馬下載器。這個病毒一直有著多種名稱,有人稱其為AV終結者變種,有人認為它是磁碟機或者別的啥下載器,但病毒作者自己將其命名為黑冰。在這個新變種中,他專門新增加了一個「blackice」的節名,強調自己的「與眾不同」。
病毒進入系統後,在系統盤目錄下釋放一個 NetApi00.sys 病毒文件,並創建服務加載它。從而修改註冊表破壞文件夾選項的隱藏屬性修改,使隱藏的文件無法被顯示,並造成安全模式被破壞。它還會反覆改寫註冊表,破壞安全模式和殺毒軟體和主動防禦的服務,使很多主動防禦軟體和實時監控無法再被開啟。
病毒通過修改系統默認加載的DLL 列表項來實現DLL 注入,並在注入後設置全局監視,然後通過遠程進程注入來查找窗口標題的關鍵字,以判斷用戶是否有使用安全軟體。
找到帶有關鍵字的窗口後,就往目標窗口發送大量的垃圾消息,使其無法處理而進入假死的狀態,當目標窗口接受到退出、銷毀和WM_ENDSESSION 消息就會異常退出。由於病毒自帶的關鍵詞庫較為龐大,幾乎所有市面上已有的安全軟體都會被它解決掉。
應該說,通過查找窗口標題來關閉殺毒軟體的方法沒有什麼創新,從AV終結者之後,不少病毒都會通過這種方法來對抗殺軟。但此病毒內帶的安全產品關鍵字,變得更短,使一些名字相近的進程或窗口也被關閉。
當所有的安全軟體全被繳械後,病毒就開啟遠程連接,瘋狂下載大量其它惡意程序到用戶電腦中運行。由於下載量很大,並且這些惡意程序大部分為盜號木馬,用戶的系統資源會迅速佔用。電腦變得其滿無比,最後「一死了之」。
值得注意的是,此病毒除破壞已有安全軟體的防護外,它也具有一套「主動防禦機制」。倘若檢測到自己的病毒進程被關閉,它就會立即又啟動病毒進程,若某些安全工具(比如安全廠商臨時開發的專殺)阻止了它啟動進程,病毒就立刻切斷電源,重啟系統!如果你發現自己的電腦中突然出現大量木馬,並且使用升級後的安全軟體也無法正常開機,那很有可能就是中了此毒。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
(