安天7月第3周病毒報告:蠕蟲囂張更改桌面壁紙
 |
| 表1 |
【51CTO.com 綜合消息】本周第一位:
Worm/Win32.AutoIt.r該病毒運行后,獲取kernel32.dll基址,動態獲取大量API函數地址,動態加載系統庫文件uxtheme.dll,調用該庫文件的"IsThemeActive"函數,獲取系統版本號,動態加載系統庫文件kernel32.dll,調用該庫文件的IsWow64Process函數,查看操作系統是32位還是64位,獲取系統版本信息之后釋放到kernel32.dll,試圖更改桌面壁紙,檢測是否被處理調試狀態,如果是則調用MessageBox彈出以下信息:"This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support.",調用SHGetDesktopFolder函數獲得桌面文件夾的IShellFolder接口,注冊一個窗口類名"AutoIt v3 GUI"及消息句柄"TaskbarCreated",完成之后創建隱藏的窗口,調用函數創建一個WORD圖標的托盤,調用函數進入消息循環一直到接收到WM_NULL則跳出循環,拷貝自身到%System32%目錄下備份多個病毒副本,分別重命名為fjwfbnyobd.exe、bomlfdbivbryevg.exe、iabzajxe.exe、ogwcoyjfpfnjn.exe(全部為隨機病毒名),并將屬性全部隱藏,在%System32%目錄下創建一個名為mydoc.rtf的WORD文件,調用函數創建大量病毒進程,循環打開多個mydoc.rtf文件,使系統速度大大下降,該病毒一旦運行之后將無法結束其進程直到系統資源耗盡導致死機。
重點關注:
Trojan/Win32.Magania.bijt[Stealer]。該惡意代碼文件為機戰游戲盜號木馬,病毒運行后先刪除預創建的病毒文件然后創建同名病毒文件分別復制到%System32%與%Windir%\fonts目錄下,動態加載comres.dll系統庫文件并釋放掉模塊句柄"hLibModule = 77020000",動態加載sfc_os.dll系統庫文件調用該庫文件的#5序號函數去掉對comres.dll文件的保護,將comres.dll改名為dfc8ac3ed7da.dll,拷貝病毒DLL文件改名為comres.dll,調用病毒自定義的"jufndb4parsj"模塊來提升進程權限,試圖將病毒DLL注入到所有進程中,遍歷激活狀態的圖片和傳真、acdsee、記事本的窗體,找到后截取窗體內容以.jpg格式保存到臨時目錄下,添加注冊表CLSID值及HOOK啟動項,刪除系統目錄下的verclsid.exe文件,每隔1000ms讀取注冊表病毒鍵值是否存在如被刪除則馬上添加,防止病毒注冊表項被刪,安裝消息鉤子截取游戲賬號密碼以URL方式發送指定地址中,運行完畢后刪除原病毒體文件。
專家建議:
1.在任務管理器中查看是否有陌生以及可疑的進程存在。
2.安裝安天防線反病毒軟件。
3.及時打全系統補丁。
4.及時關注各種應用軟件的漏洞并及時更新到應用軟件的最新版本。
5.在需要輸入游戲賬號信息時,打開安天防線反病毒軟件的實時監控功能。
6.注意經常更新安天防線反病毒軟件的病毒庫來阻止被病毒感染。
手動查殺方法:
針對以上病毒,其病毒變種非常之多。其應用技術各不相同所以沒有一個固定的手動查殺方法, 只能告訴用戶一些基本的殺毒方法,針對微軟XP用戶:
1.斷開網絡連接,進行以下操作。
2.在“運行”中輸入“msconfig”分別點擊“啟動”與“服務”標簽。
3.查看是否有陌生程序的啟動項,有則找到對應位置,使用安天防線反病毒軟件查殺或手動刪除。
4.打開“文件夾選項”中的查看隱藏文件等選項,這樣可以看到隱藏的病毒體。如看不到隱藏文件表明注冊表中顯示隱藏文件項被修改,解決辦法使用安天防線反病毒軟件掃描或者手動修改。
5.對于使用移動設備時,請先用右鍵點擊查看,是否有“自動運行”項,如有,在使用前用安天防線反病毒軟件掃描。
下周病毒預測:
從本周的趨勢觀察,及據安天實驗室捕獲統計,具有盜取能力的木馬類和感染能力的病毒和蠕蟲總體都有所上升,同時病毒類和蠕蟲類也會伴有竊取用戶信息的能力,提醒廣大用戶注意個人信息的保密,同時請用戶及時升級病毒庫,預防此類病毒侵襲。
專家預防建議:
1.建立良好的安全習慣,不打開可疑郵件和可疑網站。
2.不要隨意接收聊天工具上傳送的文件以及打開發過來的網站鏈接。
3.使用移動介質時最好使用鼠標右鍵打開使用,必要時先要進行掃描。
4.現在有很多利用系統漏洞傳播的病毒,所以給系統打全補丁也很關鍵。
5.安裝專業的防毒軟件升級到最新版本,并開啟實時監控功能。
6.為本機管理員帳號設置較為復雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數字與字母組合的密碼。
7.不要從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。
8.下載軟件后應用使用安天防線反病毒軟件進行查殺,然后進行使用。
