| 導購 | 订阅 | 在线投稿
分享
 
 
 

病毒預警:「超級AV終結者」能力極強

來源:互聯網  2008-12-04 19:03:40  評論

「超級AV終結者」(Win32.TrojDownloader.NsPassT.bm.50688),這是一個對抗能力極強的下載器。它結合了AV終結者、機器狗、掃蕩波、autorun病毒的衆多特點,行爲及其惡劣。它主要是利用MS08067漏洞在局域網內傳播,對抗安全軟件,下載大量的木馬。由于帶有穿透功能,對網吧和局域網用戶影響很大。

「木馬控制器57344」(Win32.Troj.Ghosty.a.57344),這是一個遠程木馬。它會在用戶電腦中建立後門,爲黑客入侵提供幫助。

一、「超級AV終結者」(Win32.TrojDownloader.NsPassT.bm.50688)威脅級別:★★★

進入2008年的最後一個月,病毒作者的活動越發猖獗。昨日,金山毒霸反病毒工程師捕獲一款高危病毒下載器Win32.TrojDownloader.NsPassT.bm.50688。該下載器結合了AV終結者、機器狗、掃蕩波、autorun病毒的衆多特點,行爲及其惡劣。它主要是利用MS08067漏洞在局域網內傳播,對抗安全軟件,下載大量的木馬。由于帶有穿透功能,對網吧和局域網用戶影響很大。

此病毒非常狡猾,它在進入系統後,不會立即運行,而是查找系統中是否存在OllyICE.exe、OllyDbg.exe、ImportREC.exe、C32Asm.exe、LordPE.exe、PEditor.exe等反病毒工作人員經常使用的工具,如果存在,就會立刻關閉自己、退出運行。很明顯,它想刻意逃避反病毒工程師的分析。

而該毒的危害性主要體現在它強大的對抗能力。由于同時綜合了AV終結者、機器狗、掃蕩波的特點,從未有任何病毒的對抗能力像此毒一樣凶猛。它在進入系統後,首先會恢複系統SSDT表,一旦SSDT表被恢複,就意味著該毒可以穿透任何一款系統還原軟件的防線。

同時,它按照自帶的一份「黑名單」搜索安全軟件,只要發現用戶安裝得有安全軟件,就調將其關閉。毒霸反病毒工程師檢查它的「黑名單」後發現,這份名單非常龐大,幾乎所有網上能搜索到的安全軟件,都是該毒的關閉目標。

事情還沒完,如果僅僅是關閉,那麽用戶還可以重新啓動這些安全軟件。病毒作者當然不會允許這種事情發生,他給病毒設置了映像劫持功能,劫持這些安全軟件的進程。如果用戶試圖啓動它們,唯一的結果就是把病毒再激活一次而已。而爲阻止用戶向安全軟件廠商求助,病毒會屏蔽許多安全軟件的官網。

當解決了「礙事」的安全軟件,病毒才放心大膽的讀取用戶MAC地址,並解密自己的配置文件,獲取下載列表,下載大量的盜號木馬到用戶電腦中運行——這才是它的最終目的。該毒在成功占領一台電腦後,就開始對局域網內的其它電腦實施攻擊。它搜索局域網中所有存在MS08067漏洞的電腦,利用漏洞將自己發送到這些電腦上。同時,對所有的電腦展開ARP攻擊,劫持用戶所浏覽網頁上的鏈接,如果用戶點擊鏈接,就會被引導到病毒作者安排好的廣告網址,或者下載包括該毒在內的一些惡意程序。爲確保攻擊成功,該毒還會釋放出一個掃蕩波病毒,協助自己進行攻擊。

必須提及的是,該毒的ARP攻擊頻率達到令人驚訝的地步,在毒霸反病毒工程師的測試中,該毒對局域網的ARP攻擊竟然高達每分鍾1萬次以上,在三分鍾不到的時間裏,就能阻塞由數百台電腦組成的局域網。當攻擊達到最高峰時,電腦甚至連病毒作者自己指定的網址也無法訪問,這種現象可謂是瘋狂至極。

僅僅在局域網中傳播,病毒作者並不滿足。爲實現更大範圍的傳播,該毒在執行上述破壞過程時,還會遍曆驅動器,在非a:\和b:\的磁盤分區的根目錄下創建AUTO文件autorun.inf和system.dll。一旦用戶在中毒電腦上使用U盤等移動存儲設備,病毒就會自動將其傳染。當在U盤插入另一台電腦時,它又會將該電腦傳染,這樣就實現了自動傳播。

綜合目前對該毒的分析,以及實際的染毒測試來看,該毒無疑毒霸反病毒工程師今年目前爲止所發現最凶猛的病毒之一。

根據毒霸反病毒工程師的監測,目前該毒仍在進化中,病毒作者似乎對參考學習其它對抗型病毒的「功夫」很感興趣,幾乎每個變種都會加入新的對抗手段。病毒更新的頻率也比較高,每天都會有更新,這也就造成了傳統的查殺辦法難以應對該毒威脅。

毒霸已經可以查殺此病毒,升級病毒庫到最新版本並開啓實時監控就可以防禦,網吧和企業等局域網用戶需要下載ARP防火牆,以防止其他機器的攻擊。

如果您已安裝其它廠商的殺毒軟件,不便卸載。那麽,針對該毒的高危特性和頻繁更新,毒霸反病毒工程師推薦使用免費的金山系統急救箱對系統進行清理,然後用毒霸和金山清理專家徹底清除被該毒下載到電腦中的木馬,並修複系統受到的破壞。

「金山系統急救箱」下載地址http://bbs.duba.net/thread-21988813-1-1.html

金山ARP防火牆下載地址:http://buy.duba.net/download/index.shtml#fhq

關于該病毒的詳細分析報告,可在金山病毒大百科中查閱http://vi.duba.net/virus/win32-trojdownloader-nspasst-bm-50688-52647.html二、「木馬控制器57344」(Win32.Troj.Ghosty.a.57344)威脅級別:★

該毒行爲簡單,對系統不具備直接的破壞能力,但會開啓敏感端口,建立後門。黑客借助其幫助,可對用戶電腦執行任何想要的控制。

該毒在進入系統後,釋放出子文件avgupdt.exe和lsass.exe到%WINDOWS%\SYSTEM32\2054913864\目錄下,此目錄是隨機命名,反而容易被用戶發現。

當修改注冊表啓動項、實現開機自啓動後,病毒就會運行起來,連接病毒作者指定的黑客服務器,等待黑客指令。

關于該病毒的詳細分析報告,可在金山病毒大百科中查閱http://vi.duba.net/virus/win32-troj-ghosty-57344-52643.html

金山反病毒工程師建議

1.最好安裝專業的殺毒軟件進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由于玩網絡遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。

金山毒霸反病毒應急中心及時進行了病毒庫更新,升級毒霸到2008年12月3日的病毒庫即可查殺以上病毒;如未安裝金山毒霸,可以登錄http://www.duba.net免費下載最新版金山毒霸2008或使用金山毒霸在線殺毒來防止病毒入侵。撥打金山毒霸反病毒急救電話010—82331816,反病毒專家將爲您提供幫助。

  「超級AV終結者」(Win32.TrojDownloader.NsPassT.bm.50688),這是一個對抗能力極強的下載器。它結合了AV終結者、機器狗、掃蕩波、autorun病毒的衆多特點,行爲及其惡劣。它主要是利用MS08067漏洞在局域網內傳播,對抗安全軟件,下載大量的木馬。由于帶有穿透功能,對網吧和局域網用戶影響很大。   「木馬控制器57344」(Win32.Troj.Ghosty.a.57344),這是一個遠程木馬。它會在用戶電腦中建立後門,爲黑客入侵提供幫助。   一、「超級AV終結者」(Win32.TrojDownloader.NsPassT.bm.50688)威脅級別:★★★   進入2008年的最後一個月,病毒作者的活動越發猖獗。昨日,金山毒霸反病毒工程師捕獲一款高危病毒下載器Win32.TrojDownloader.NsPassT.bm.50688。該下載器結合了AV終結者、機器狗、掃蕩波、autorun病毒的衆多特點,行爲及其惡劣。它主要是利用MS08067漏洞在局域網內傳播,對抗安全軟件,下載大量的木馬。由于帶有穿透功能,對網吧和局域網用戶影響很大。   此病毒非常狡猾,它在進入系統後,不會立即運行,而是查找系統中是否存在OllyICE.exe、OllyDbg.exe、ImportREC.exe、C32Asm.exe、LordPE.exe、PEditor.exe等反病毒工作人員經常使用的工具,如果存在,就會立刻關閉自己、退出運行。很明顯,它想刻意逃避反病毒工程師的分析。   而該毒的危害性主要體現在它強大的對抗能力。由于同時綜合了AV終結者、機器狗、掃蕩波的特點,從未有任何病毒的對抗能力像此毒一樣凶猛。它在進入系統後,首先會恢複系統SSDT表,一旦SSDT表被恢複,就意味著該毒可以穿透任何一款系統還原軟件的防線。   同時,它按照自帶的一份「黑名單」搜索安全軟件,只要發現用戶安裝得有安全軟件,就調將其關閉。毒霸反病毒工程師檢查它的「黑名單」後發現,這份名單非常龐大,幾乎所有網上能搜索到的安全軟件,都是該毒的關閉目標。   事情還沒完,如果僅僅是關閉,那麽用戶還可以重新啓動這些安全軟件。病毒作者當然不會允許這種事情發生,他給病毒設置了映像劫持功能,劫持這些安全軟件的進程。如果用戶試圖啓動它們,唯一的結果就是把病毒再激活一次而已。而爲阻止用戶向安全軟件廠商求助,病毒會屏蔽許多安全軟件的官網。   當解決了「礙事」的安全軟件,病毒才放心大膽的讀取用戶MAC地址,並解密自己的配置文件,獲取下載列表,下載大量的盜號木馬到用戶電腦中運行——這才是它的最終目的。  該毒在成功占領一台電腦後,就開始對局域網內的其它電腦實施攻擊。它搜索局域網中所有存在MS08067漏洞的電腦,利用漏洞將自己發送到這些電腦上。同時,對所有的電腦展開ARP攻擊,劫持用戶所浏覽網頁上的鏈接,如果用戶點擊鏈接,就會被引導到病毒作者安排好的廣告網址,或者下載包括該毒在內的一些惡意程序。爲確保攻擊成功,該毒還會釋放出一個掃蕩波病毒,協助自己進行攻擊。   必須提及的是,該毒的ARP攻擊頻率達到令人驚訝的地步,在毒霸反病毒工程師的測試中,該毒對局域網的ARP攻擊竟然高達每分鍾1萬次以上,在三分鍾不到的時間裏,就能阻塞由數百台電腦組成的局域網。當攻擊達到最高峰時,電腦甚至連病毒作者自己指定的網址也無法訪問,這種現象可謂是瘋狂至極。   僅僅在局域網中傳播,病毒作者並不滿足。爲實現更大範圍的傳播,該毒在執行上述破壞過程時,還會遍曆驅動器,在非a:\和b:\的磁盤分區的根目錄下創建AUTO文件autorun.inf和system.dll。一旦用戶在中毒電腦上使用U盤等移動存儲設備,病毒就會自動將其傳染。當在U盤插入另一台電腦時,它又會將該電腦傳染,這樣就實現了自動傳播。   綜合目前對該毒的分析,以及實際的染毒測試來看,該毒無疑毒霸反病毒工程師今年目前爲止所發現最凶猛的病毒之一。   根據毒霸反病毒工程師的監測,目前該毒仍在進化中,病毒作者似乎對參考學習其它對抗型病毒的「功夫」很感興趣,幾乎每個變種都會加入新的對抗手段。病毒更新的頻率也比較高,每天都會有更新,這也就造成了傳統的查殺辦法難以應對該毒威脅。   毒霸已經可以查殺此病毒,升級病毒庫到最新版本並開啓實時監控就可以防禦,網吧和企業等局域網用戶需要下載ARP防火牆,以防止其他機器的攻擊。   如果您已安裝其它廠商的殺毒軟件,不便卸載。那麽,針對該毒的高危特性和頻繁更新,毒霸反病毒工程師推薦使用免費的金山系統急救箱對系統進行清理,然後用毒霸和金山清理專家徹底清除被該毒下載到電腦中的木馬,並修複系統受到的破壞。   「金山系統急救箱」下載地址http://bbs.duba.net/thread-21988813-1-1.html   金山ARP防火牆下載地址:http://buy.duba.net/download/index.shtml#fhq   關于該病毒的詳細分析報告,可在金山病毒大百科中查閱http://vi.duba.net/virus/win32-trojdownloader-nspasst-bm-50688-52647.html  二、「木馬控制器57344」(Win32.Troj.Ghosty.a.57344)威脅級別:★   該毒行爲簡單,對系統不具備直接的破壞能力,但會開啓敏感端口,建立後門。黑客借助其幫助,可對用戶電腦執行任何想要的控制。   該毒在進入系統後,釋放出子文件avgupdt.exe和lsass.exe到%WINDOWS%\SYSTEM32\2054913864\目錄下,此目錄是隨機命名,反而容易被用戶發現。   當修改注冊表啓動項、實現開機自啓動後,病毒就會運行起來,連接病毒作者指定的黑客服務器,等待黑客指令。   關于該病毒的詳細分析報告,可在金山病毒大百科中查閱http://vi.duba.net/virus/win32-troj-ghosty-57344-52643.html   金山反病毒工程師建議   1.最好安裝專業的殺毒軟件進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。   2.由于玩網絡遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。   金山毒霸反病毒應急中心及時進行了病毒庫更新,升級毒霸到2008年12月3日的病毒庫即可查殺以上病毒;如未安裝金山毒霸,可以登錄http://www.duba.net免費下載最新版金山毒霸2008或使用金山毒霸在線殺毒來防止病毒入侵。撥打金山毒霸反病毒急救電話010—82331816,反病毒專家將爲您提供幫助。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有