[watermark]警惕关闭杀毒软件的新木马
安天实验室反病毒监测网截获多种新型盗号病毒,与以往不同,这些病毒除了会窃取传奇世界等网络游戏的帐号信息外,还会试图终止杀毒软件和个人防火墙的进程。来躲避查杀。
其中的Trojan-PSW.Win32.Lmir.ayx病毒运行后,伪装为记录微软安全更新升级补丁相关信息的LOG文件,以达到隐藏的目的,以正常的LOG文件不同,在病毒的文件名中,含有类似M,I等字符。
无独有偶,病毒分析师最近频繁接到用户报告,发现名为Trojan-PSW.Win32.WOW.da的木马多次出现。接到用户报告后,病毒分析师立即对用户上报的可疑文件样本进行分析,经分析,该类木马具有如下特征:
在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\处添加启动项,名为LSASS.exe等。在受感染的系统中,存在类似%WinDir%\WINLOGON.exe,%WinDir%\SMSS.exe,%WinDir%\LSASS.exe的进程。生成如下名称的病毒文件(变种不同,产生的文件也不同)
%WinDir%\1.com
%WinDir%\SMSS.exe
%WinDir%\SERVICES.exe
%WinDir%\LSASS.exe
%WinDir%\WINLOGON.exe
%WinDir%\ExERoute.exe
%WinDir%\EXPLORER.com
%WinDir%\FINDER.com
%WinDir%\EXERT.exe
%WinDir%\IO.SYS.BAK
%WinDir%\Debug\DebugProgram.exe
%WinDir%\Shell.sys
%WinDir%\Winsock32.DLL.SCF
%System%\Anskya0.exe
%System%\Anskya1.exe
%System%\rundll32.com
%System%\finder.com
%System%\msconfig.com
%System%\dxdiag.com
%System%\regedit.com
%System%\command.pif
%System%\i.com
%CommonProgramFiles%\intexplore.pif
%CommonProgramFiles%\inexplore.pif
%CommonProgramFiles%\iexplore.pif
%ProgramFiles%\Internet Explorer\Intexplore.com
%ProgramFiles%\Internet Explorer\Inexplore.com
%ProgramFiles%\Internet Explorer\iexplore.com
%SystemDrive%\bootconf.exe
%SystemDrive%\command.com
%SystemDrive%\command.exe
%SystemDrive%\pagefile.pif
D:\command.com
D:\pagefile.pif
注:
% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
联系到近日,国外网络安全公司提供的信息,在国外出现了一种隐蔽性极高的新型木马软件,这种木马不采用传统的发送邮件或HTTP信息包裹的方式来传输盗取的信息,而是通过ICMP(互联网控制信息协议)将盗取的数据传给攻击者,因此具有很高的隐蔽性。
因为多数防火墙和入侵检测系统,对ICMP的信息包,都认为是正常的信息包,因此此类信息包很容易被放行,因此,这些ICMP信息包包含的经过编码的个人信息,就很容易被传输到攻击者手中。
该木马在受影响的系统中,会绑定IE浏览器,监视系统,当发现用户的敏感信息时,就会窃取这些信息,并传送给攻击者。因此具有极高的危险性。
综上所述,近期,多种新型网络攻击技术开始出现,病毒也开始使用多种新的技术,来躲避查杀。因此,病毒分析师在这里提醒广大用户,及时升级木马防线,并打开实时监控功能,来保障自身的网络安全。
[/watermark] |
