微点交流论坛

标题: 间谍木马 Trojan-Spy.Win32.Small.nb [打印本页]

作者: pioneer 时间: 2007-7-23 13:56 标题: 间谍木马 Trojan-Spy.Win32.Small.nb

病毒名称

Trojan-Spy.Win32.Small.nb

捕获时间

2007年7月21日

病毒症状

   该木马程序激活后不会立即执行恶意操作，而是做了一个延时处理，10分钟后才会开始真正发作。发作时将自身拷贝到windows临时文件夹下并命名为explorer.exe；拷贝到system32目录中为directx.exe，并注册系统服务，重启计算机时以服务方式自动启动；通过调用系统netsh命令设置windows防火墙，为木马程序explorer.exe添加放行规则使之顺利通过防火墙连接黑客主机，被黑客远程控制。

感染对象

Windows NT4.0/ Windows 2000/ Windows XP/ Windows Server 2003

传播途径

黑客攻击、网页挂马

安全提示

   已安装微点主动防御软件的客户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该木马程序后将报警提示您“发现未知木马”，请直接选择删除处理；如果您已经将微点主动防御软件升级到最新版本，将报警提示您发现“Trojan-Spy.Win32.Small.nb”，请直接选择删除。


   使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

   没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。

[ Last edited by pioneer on 2007-7-24 at 18:29 ]

作者: pioneer 时间: 2007-7-23 13:57
点评

此木马没有采取“速战速决”的入侵策略，而是有意误导用户。病毒激活后，先假意“休眠”10分钟，为下一步的恶意计划做好铺垫，10分钟后病毒露出本来面目，将自身复制命名为与系统文件完全相同的名称，并注册为系统服务，由于病毒文件名的伪装性，使得用户很难发觉系统进程的异常，此木马通过恶意设置防火墙、添加放行程序，最终完成将用户电脑链接到黑客主机。由于此木马在攻击时采取了一定的“计策”，因此您目前使用的杀毒软件很可能因为没有及时升级而导致用户中毒。建议您采用具有主动防御功能的安全软件，即使病毒利用“休眠”的方式进行自我保护以伺机进行破坏，主动防御软件也仍会在病毒延迟后试图产生危害行为时立即终止其运行，并报警提示用户进行删除。

[ Last edited by pioneer on 2007-7-24 at 18:28 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn