中文名稱:"卡拉蜜"變種z
病毒長度:145814字節(jié)
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Packed.Krap.z"卡拉蜜"變種z是"卡拉蜜"木馬家族中的最新成員之一���,采用"Borland Delphi 6.0 – 7.0"編寫,并且經(jīng)過加殼保護處理����。"卡拉蜜"變種z運行后���,自我復(fù)制到被感染計算機系統(tǒng)的"%SystemRoot%Help"目錄下,并重新命名為"EB6C4499B05F.exe"����,文件屬性設(shè)置為:系統(tǒng)、隱藏�、存檔。在被感染計算機系統(tǒng)的"%SystemRoot%Help"目錄下釋放一個惡意DLL功能組件"EB6C4499B05F.dll"���,將其插入到被感染計算機系統(tǒng)"explorer.exe"等用戶級權(quán)限的進程中加載運行�,并在后臺執(zhí)行相應(yīng)的惡意操作����,隱藏自我,防止被查殺�����。"卡拉蜜"變種z會在被感染計算機的后臺秘密監(jiān)視正在運行的所有窗口標(biāo)題����,一旦發(fā)現(xiàn)標(biāo)題中存在與安全相關(guān)的字符串(如"安全警報"�����、"網(wǎng)頁")便會強行向其進程循環(huán)發(fā)送垃圾消息�����,試圖使其出錯關(guān)閉或自動退出����。強行篡改系統(tǒng)日期���,利用某些安全軟件存在的"時間判斷"缺陷使其保護功能失效�,進而達到自我保護的目的����。"卡拉蜜"變種z可盜取"魔獸世界Online"、"熱血江湖Online"�、"冒險島Online"、"洛汗Online"等網(wǎng)絡(luò)游戲的會員賬號��,會在被感染計算機的后臺秘密監(jiān)視用戶系統(tǒng)中所運行的所有應(yīng)用程序窗口標(biāo)題�����,然后利用鍵盤鉤子����、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號、游戲密碼���、金錢數(shù)量�、倉庫密碼等信息���,并在后臺將竊取到的玩家機密信息發(fā)送到駭客指定的遠程服務(wù)器站點上(地址加密存放)����,致使網(wǎng)絡(luò)游戲玩家的游戲賬號�、裝備、物品����、金錢等丟失,給游戲玩家?guī)硪欢ǔ潭鹊膿p失���。同時����,該木馬還會竊取用戶"雅虎通(Yahoo! Messenger)"和"Yahoo奇魔"的賬號信息,并在后臺發(fā)送到駭客指定的遠程服務(wù)器站點上�����。"卡拉蜜"變種z具有自動更新功能���,連接指定站點進行自動升級�。另外��,"卡拉蜜"變種z會通過修改系統(tǒng)注冊表的方式來實現(xiàn)木馬開機自啟動�。
英文名稱:Rootkit.Vanti.fzh
中文名稱:"頑梯"變種fzh
病毒長度:9056字節(jié)
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Rootkit.Vanti.fzh"頑梯"變種fzh是"頑梯"木馬家族中的最新成員之一,采用內(nèi)核級Rootkit技術(shù)來實現(xiàn)隱藏自我�����,未經(jīng)過加密保護處理��。"頑梯"變種fzh在用戶計算機系統(tǒng)中安裝注冊運行后�,利用高級的Rootkit技術(shù)(內(nèi)核級的鉤子"SSDT HOOK"與"FSD HOOK")隱藏病毒進程、病毒文件�����、病毒在注冊表中的啟動項等特征信息�,防止被安全軟件和用戶查殺,達到更好的隱蔽效果����。其中,該惡意驅(qū)動程序?qū)儆谀巢《菊w中的一個功能模塊����,伴隨該惡意驅(qū)動程序的出現(xiàn),還會有其它惡意功能模塊也一同被安裝到系統(tǒng)中���。用戶計算機系統(tǒng)一旦感染該病毒����,則很難清除干凈��。另外�,"頑梯"變種fzh會通過在被感染計算機中注冊系統(tǒng)服務(wù)的方式來實現(xiàn)木馬開機自啟動。
針對以上病毒�,江民反病毒中心建議廣大電腦用戶:
1、請立即升級江民殺毒軟件��,開啟新一代智能分級高速殺毒引擎及各項監(jiān)控�,防止目前盛行的病毒、木馬�����、有害程序或代碼等攻擊用戶計算機。
2�、江民KV網(wǎng)絡(luò)版的用戶請及時升級控制中心,并建議相關(guān)管理人員在適當(dāng)時候進行全網(wǎng)查殺病毒���,保證企業(yè)信息安全��。
3����、全面開啟BOOTSCAN功能�,在系統(tǒng)啟動前殺毒,清除具有自我保護和反攻殺毒軟件的惡性病毒��。
4���、江民殺毒軟件采用窗口保護以及進程保護技術(shù)�����,避免病毒關(guān)閉殺毒軟件進程���,確保殺毒軟件自身的正常運行�����,更好地保護用戶計算機的安全。
5�、江民防馬墻在系統(tǒng)自動搜集分析帶毒網(wǎng)頁的基礎(chǔ)上,通過黑白名單�,阻止用戶訪問帶有木馬和惡意腳本的惡意網(wǎng)頁并進行處理,有效保障用戶上網(wǎng)安全�����。
6��、開啟江民殺毒軟件"系統(tǒng)漏洞檢查"功能�����,全面掃描操作系統(tǒng)漏洞�,及時更新Windows操作系統(tǒng),安裝相應(yīng)補丁程序���,以避免病毒利用微軟漏洞攻擊計算機�,造成損失。
7���、將應(yīng)用軟件升級到最新版本�,其中包括各種IM即時通訊工具�����、下載工具�����、播放器軟件��、搜索工具條等���;更不要登錄來歷不明的網(wǎng)站�����,避免病毒利用其他應(yīng)用軟件漏洞進行木馬病毒傳播�。
8����、懷疑已中毒的用戶可使用江民免費在線查毒進行病毒查證。免費在線查毒地址:http://online.jiangmin.com/chadu.asp
有關(guān)更詳盡的病毒技術(shù)資料請直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進行咨詢,或訪問江民網(wǎng)站http://www.jiangmin.com進行在線查閱����。
