nullspace
注册用户
积分 57
发帖 57
注册 2007-2-27
|
#1 网络行业协会、金山联合发布04月25日热门病毒预警
网络行业协会、金山联合发布04月25日热门病毒预警
2007-4-25 信息源:金山公司
“下载者”变种ho(win32.troj.downloader.ho)是一个会连接指定站点下载其他病毒的木马病毒。 “qq大盗”变种dyy(win32.troj.qqpass.dyy)是一个盗取用户qq帐号的木马病毒。
一、“下载者”变种ho(win32.troj.downloader.ho)
威胁级别:★
该病毒是一个木马下载器,当发现受感染电脑的ie可用时,它会自动连接多个恶意站点,下载其他的多个木马病毒,下载的病毒都是一些盗号木马病毒,对用户的网络虚拟财产构成严重的威胁。此外,这次的变种会通过感染电脑的可移动磁盘,达到扩散病毒的目的,有可能造成病毒蔓延的现象,建议用户提高警惕,捍卫电脑的安全。
该病毒运行后,会将自身复制为binnice.bak,同时释放一个binnice.dll病毒文件。注入到系统进程explorer.exe里,连接到h**p://7y7.us/s**n/csrss.exe等多个恶意站点,进行病毒下载。向可移动磁盘中释放ghost.pif和autorun.inf病毒文件,以其来传播自身。
二、“qq大盗”变种dyy(win32.troj.qqpass.dyy)
威胁级别:★
该病毒是“qq大盗”的恶意改造版,跟之前的“qq大盗”恶意行为相似,它是针对用户qq帐号而来的,它会潜伏在受感染电脑的系统里,伺机查找qq的登陆窗口,截取用户的qq帐号和密码信息,将窃取的信息发送给木马种植者,造成用户网络个人财产的损失。此外,它还能强行终止某些杀毒软件的监控进程,使电脑的安全性能下降,容易受到其他病毒的侵害。
该病毒运行后,会释放wiusvt.exe等多个病毒文件,修改注册表,实现随开机自动启动。结束rfwmain.exe和ravmon.exe等多个杀毒软件的保护进程。
金山反病毒工程师建议
1.建立良好的安全习惯。对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从internet下载后未经杀毒软件处理的文件,这些才能确保您的计算机更安全。
2.目前窃取用户游戏、即时通讯工具等密码信息的病毒频繁出现,请用户一定要加强安全防范措施,避免给您造成损失。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2007年4月25日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2007或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。
| |
※ ※ ※ 本文纯属【nullspace】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-4-25 21:05 |
|
野战鼠
新手上路
积分 32
发帖 32
注册 2007-3-7
来自 上海
|
#2
我有微点不怕
| |
※ ※ ※ 本文纯属【野战鼠】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-4-25 21:22 |
|
nullspace
注册用户
积分 57
发帖 57
注册 2007-2-27
|
#3
Win32.Troj.Downloader.ho新客网 XKER.COM 2007-04-24 来源: 收藏本文
病毒别名: 处理时间:2007-04-23 威胁级别:★
中文名称: 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个下载器,连接网络下载多种木马病毒。
1、复制自身到如下路径:
C:\Program Files\Internet Explorer\PLUGINS\BinNice.bak
释放病毒DLL文件到如下路径:
C:\Program Files\Internet Explorer\PLUGINS\BinNice.dll
2、修改注册表,添加如下表项,是病毒每次系统启动时加载自身:
HKCR\CLSID\\(Default)
HKCR\CLSID\\InProcServer32
(Default)="C:\Program Files\Internet Explorer\PLUGINS\BinNice.dll"
HKCR\CLSID\\InProcServer32
"ThreadingModel"="Apartment"
3、安装全局钩子,将病毒dll文件注入系统中存在的进程。
4、当发现注入的进程为explorer.exe或VerCLSID.exe时,连接网络到如下网址下载病毒到本地并运行:
h**p://7y7.us/s**n/csrss.exe
h**p://7y7.us/s**n/svchost32.exe
h**p://7y7.us/s**n/smss.exe
h**p://7y7.us/s**n/services.exe
h**p://7y7.us/s**n/svchost.exe
h**p://7y7.us/s**n/conime.exe
h**p://7y7.us/s**n/ctfmon.exe
h**p://7y7.us/s**n/mmc.exe
h**p://7y7.us/s**n/iexplore.exe
h**p://7y7.us/s**n/srogm.exe
5、向可移动磁盘中复制如下病毒文件,传播自身:
Ghost.pif
autorun.inf
| |
※ ※ ※ 本文纯属【nullspace】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-4-25 21:27 |
|
nullspace
注册用户
积分 57
发帖 57
注册 2007-2-27
|
#4
不怕是不怕 但是微点不停的弹出警未信息也挺烦的
而且好像没有彻底防住,不然不会在打开某些网站时连向病毒网站
| |
※ ※ ※ 本文纯属【nullspace】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-4-25 21:28 |
|
nullspace
注册用户
积分 57
发帖 57
注册 2007-2-27
|
#5
Trojan-Dropper.Win32.Delf.va分析
出处:安天实验室 时间:2007-04-17 9:30
病毒标签:
病毒名称: Trojan-Dropper.Win32.Delf.va
病毒类型: 木马
文件 MD5: 989F391B9FC286A08DBE90DFDBB414A1
公开范围: 完全公开
危害等级: 3
文件长度: 15,334 字节
感染系统: windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: FSG 2.0
命名对照: NORMAN [ Security Risk Suspicious_F.gen ]
AntiVir [TR/PSW.Nilage.akh.15]
病毒描述:
该病毒属木马类。病毒运行后,衍生病毒文件到系统正常程序目录下,并重命名为 BinNice.bak ,修改注册表以保护 BinNice.dll 文件不被删除。病毒衍生文件 BinNice.dll 插入系统正常进程 Explorer.exe 中,搜索进程 VerCLSID.exe ,如有则插入。 通过 ANI 漏洞进行网站挂马传播。该病毒尝试删除衍生文件 BinNice.bak ,但未能成功。
行为分析:
1 、病毒运行后衍生文件:
%Program Files%\Internet Explorer\PLUGINS\BinNice.dll
%Program Files%\Internet Explorer\PLUGINS\BinNice.bak
%Program Files%Internet Explorer\PLUGINS\BinNice.bkk
2 、修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{03E636B9-AE6C-5E23-638E-B633E22F6338}\InProcServer32
值 : 字符串 : "@"="C:\Program Files\Internet Explorer\PLUGINS\BinNice.dll"
3 、病毒文件 BinNice.dll 插入进程:
Explorer.Exe
VerCLSID.exe
4 、该病毒通过 ANI 漏洞进行网站挂马传播。
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用 安天木马防线 “进程管理”关闭病毒进程:
Explorer.Exe
(2) 删除病毒文件:
%Program Files%\Internet Explorer\PLUGINS\BinNice.dll
%Program Files%\Internet Explorer\PLUGINS\BinNice.bak
%Program Files%Internet Explorer\PLUGINS\BinNice.bkk
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{03E636B9-AE6C-5E23-638E-B633E22F6338}\InProcServer32
值 : 字符串 : "@"="C:\Program Files\Internet
Explorer\PLUGINS\BinNice.dll"
| |
※ ※ ※ 本文纯属【nullspace】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-4-25 21:30 |
|
nullspace
注册用户
积分 57
发帖 57
注册 2007-2-27
|
#6
高危!Windows ANI漏洞官方补丁下载
发布日期: 2007-4-4 10:43:16 作者: Skyangeles 字体:【大 中 小】【打印本页】
北京时间4月4日凌晨,美国时间4月3日,微软公司如期发布了ANI漏洞补丁。上周末,微软截获了利用该漏洞的病毒,黑客可以通过制作特殊的ANI动态光标文件获取系统控制权。这一严重问题导致微软不得不加快速度提前发布补丁,该补丁原计划在4月10日左右发布。
该漏洞名称为:GDI漏洞导致远程执行代码(925902),影响所有基于NT架构Windows系统,安全级别为高危级,建议所有用户立即更新。该补丁替代了06年发布的KB912919,微软本次同时发布了针对7种操作系统的补丁。
微软安全公告页面(英文)
各版本操作系统补丁(KB925902)下载页面,均不需要正版验证:
Windows XP
Windows XP x64
Windows Vista
Windows Vista x64
Windows 2003
Windows 2003 x64
Windows 2000
http://news.newhua.com/html/Soft ... 0452711881_22.shtml
| |
※ ※ ※ 本文纯属【nullspace】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-4-25 21:41 |
|
