【賽迪網-IT技術報道】江民今日提醒您注意:在今天的病毒中Trojan/Hijack.bi“劫持犯”變種bi和TrojanProxy.Agent.axo“代理木馬”變種axo值得關注。
病毒名稱:Trojan/Hijack.bi
中 文 名:“劫持犯”變種bi
病毒長度:36368字節
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Trojan/Hijack.bi“劫持犯”變種bi是“劫持犯”木馬家族的最新成員之一,採用VC編寫,並經過添加保護殼處理。“劫持犯”變種bi運行後,強行將系統時間設置為2001年,導致某些安全軟體殺毒和保護功能失效。在被感染電腦的後臺調用系統“svchost.exe”進程,並將惡意代碼注入到其中運行,實現反安全軟體的功能,然後進行惡意操作。在被感染電腦系統的“%SystemRoot%\system32\”目錄下創建病毒配置文件。在臨時文件夾下釋放惡意驅動文件,文件名隨機生成,並將文件屬性設置為隱藏。驅動文件可還原系統“SSDT”,致使某些安全軟體的防禦和監控功能失效,從而達到躲避監控的目的,驅動文件還可能會覆蓋破壞系統程式“explorer.exe”,把惡意可執行代碼寫入到系統程式中,具有繞過“還原保護系統”,覆蓋破壞被感染電腦真實磁片中系統文件的功能,使用戶防不勝防。遍歷當前電腦系統中的進程列表,一旦發現與安全相關的進程,強行將其關閉。在被感染電腦系統的“%SystemRoot%\system32\”目錄下創建批處理文件並調用運行,利用該批處理程式去關閉“系統防火牆”。修改註冊表,利用進程映像劫持功能禁止指定的安全軟體運行。“劫持犯”變種bi會在被感染電腦系統的後臺連接駭客指定站點,下載包括“系統殺手”、“ARP殺手”、“代理木馬”、“機器狗”等大量木馬病毒到用戶電腦中安裝運行,給用戶帶來極大的損失。“劫持犯”變種bi還會在任務執行完畢後,會馬上關閉退出。在退出時,被注入惡意代碼的系統“svchost.exe”進程會刪除掉病毒所在磁片中的文件,使用戶無法尋找到該病毒樣本。
病毒名稱:TrojanProxy.Agent.axo
中 文 名:“代理木馬”變種axo
病毒長度:35531字節
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
TrojanProxy.Agent.axo“代理木馬”變種axo是“代理木馬”木馬家族的最新成員之一,採用Delphi編寫,並經過添加保護殼處理。“代理木馬”變種axo運行後,自我複製到被感染電腦系統的“%SystemRoot%\system32\”目錄下,重命名為“wfeoe.exe”和“yhiln.exe”,並將這兩個文件添加為啟動項,實現木馬開機自動運行。提升自身許可權,搜尋並強行關閉大量流行的安全軟體,大大降低了被感染電腦上的安全性。強行調用某些安全軟體自帶的卸載程式,將被感染電腦上的安全軟體卸載。強行篡改註冊表,利用進程映像劫持功能禁止數百種安全軟體及調試工具運行,致使用戶電腦系統毫無安全保障。在被感染電腦硬盤各盤符根目錄下以及移動存儲設備根目錄下創建“autorun.inf”文件和木馬主程式文件“yhiln.exe”(屬性為“系統、隱藏”),實現雙擊盤符啟動“代理木馬”變種axo目的,從而利用U盤、移動硬盤等移動設備進行自我傳播。
針對以上病毒,建議廣大電腦用戶:
1、請立即升級江民殺毒軟體,開啟新一代智慧分級高速殺毒引擎及各項監控,防止目前盛行的病毒、木馬、有害程式或代碼等攻擊用戶電腦。
2、江民KV網路版的用戶請及時升級控制中心,並建議相關管理人員在適當時候進行全網查殺病毒,保證企業資訊安全。
3、全面開啟BOOTSCAN功能,在系統啟動前殺毒,清除具有自我保護和反攻殺毒軟體的惡性病毒。
4、江民殺毒軟體採用窗口保護以及進程保護技術,避免病毒關閉殺毒軟體進程,確保殺毒軟體自身安全,更好地保護用戶電腦的安全。
(責任編輯:董建偉)
