DIY编程器网

标题: 病毒向杀毒软件下狠手 各类方法无所不用 [打印本页]

作者: admin    时间: 2014-10-13 14:47
标题: 病毒向杀毒软件下狠手 各类方法无所不用
“安全杀手下载者53248”(Win32.TrojDownloader.Tiny.nc.53248),这是一个木马下载者,其主要功能为从网络下载其他木马病毒感染用户。该病毒对用户造成潜在的威胁,后续下载的病毒将导致众多安全软件无法运行,另会下载众多的网络游戏盗号木马。“ARP下载者155648”(Worm.Downloader.p.155648),这是一个网络下载者,从网络上下载病毒文件,并对局域网内的计算机进行ARP欺骗,传播病毒文件。
一、“安全杀手下载者53248”(Win32.TrojDownloader.Tiny.nc.53248) 威胁级别:★★
这是一个木马下载者,它通过网络传播。较其它下载者来说,该病毒显得更为“凶猛”,因为它进入电脑后,会首先对安全软件下手。病毒搜索大部分安全软件的安装目录,将病毒文件 ws2_32.dll或MFC42.dll插入其中,并设为无法删除的隐藏文件。一旦完成这个步骤,当用户启动安全软件时,就会收到报错提示而无法启动。
随后,病毒搜索打开的IE浏览器,并调用浏览器,从http://p**.1***g/S368/S368.exe这一地址下载新的病毒,若用户安装有卡巴斯基杀毒软件,新下载的病毒便将系统时间被置为1966年或与其它当前年份不符的时间,使卡巴斯基失效。接下来,它下载更多的网游盗号木马,伺机窃取用户的账号密码等信息。
由于此病毒的行为十分隐蔽,普通防火墙将不会警告病毒的下载操作。但用户可在C:windowssystem32中发现大量名称形如XXdoorX.dll的木马文件。
二、“ARP下载者155648”(Worm.Downloader.p.155648) 威胁级别:★★
这是一个木马下载者,病毒运行后在 %SystemRoot%system32Comcomrepl32.exe目录与 %SystemRoot%system32driverspcibus.sys目录下释放出病毒文件,并修改注册表,以便随系统自动启动。
该病毒隐蔽性较高,它在%SystemRoot%system32目录下svchost.exe程序的空间内运行病毒程序,隐藏自身。若系统中安装有卡巴斯基,病毒还能将系统时间中的年份修改为2001年,暂时禁用卡巴基斯基,运行完毕后,再将系统时间改回正确的年份。如此一来,用户就更不易发现它的存在。
确定卡巴斯基“瘫痪”后,病毒便在用户无法知晓的情况下连接网络,从网上下载其它病毒,将它们以conime?.exe文件名的形式保存到%Program Files%目录下,需要注意的是,病毒名称中的“?”为随机生成的0-9数字,或a-z的小写字母。
除了在本机上造成危害,该病毒还会向外发送ARP包,对局域网内的计算机进行ARP攻击,并通过ARP攻击传播病毒文件。因此,它在局域网中的危害会更大。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。




欢迎光临 DIY编程器网 (http://diybcq.com/) Powered by Discuz! X3.2