北京網(wǎng)絡(luò)行業(yè)協(xié)會、江民科技聯(lián)合發(fā)布07月12日病毒播報(bào)

血腥魔術(shù)師

江民今日提醒您注意：在今天的病毒中Trojan/Hijack.bi“劫持犯”變種bi和TrojanProxy.Agent.axo“代理木馬”變種axo值得關(guān)注。 \r\n\r\n病毒名稱：Trojan/Hijack.bi \r\n中 文 名：“劫持犯”變種bi \r\n病毒長度：36368字節(jié) \r\n病毒類型：木馬 \r\n危險(xiǎn)級別：★★ \r\n影響平臺：Win 9X/ME/NT/2000/XP/2003 \r\nTrojan/Hijack.bi“劫持犯”變種bi是“劫持犯”木馬家族的最新成員之一，采用VC編寫，并經(jīng)過添加保護(hù)殼處理�！敖俪址浮弊兎Nbi運(yùn)行后，強(qiáng)行將系統(tǒng)時間設(shè)置為2001年，導(dǎo)致某些安全軟件殺毒和保護(hù)功能失效。在被感染計(jì)算機(jī)的后臺調(diào)用系統(tǒng)“svchost.exe”進(jìn)程，并將惡意代碼注入到其中運(yùn)行，實(shí)現(xiàn)反安全軟件的功能，然后進(jìn)行惡意操作。在被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\\system32\\”目錄下創(chuàng)建病毒配置文件。在臨時文件夾下釋放惡意驅(qū)動文件，文件名隨機(jī)生成，并將文件屬性設(shè)置為隱藏。驅(qū)動文件可還原系統(tǒng)“SSDT”，致使某些安全軟件的防御和監(jiān)控功能失效，從而達(dá)到躲避監(jiān)控的目的，驅(qū)動文件還可能會覆蓋破壞系統(tǒng)程序“explorer.exe”，把惡意可執(zhí)行代碼寫入到系統(tǒng)程序中，具有繞過“還原保護(hù)系統(tǒng)”，覆蓋破壞被感染計(jì)算機(jī)真實(shí)磁盤中系統(tǒng)文件的功能，使用戶防不勝防。遍歷當(dāng)前計(jì)算機(jī)系統(tǒng)中的進(jìn)程列表，一旦發(fā)現(xiàn)與安全相關(guān)的進(jìn)程，強(qiáng)行將其關(guān)閉。在被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\\system32\\”目錄下創(chuàng)建批處理文件并調(diào)用運(yùn)行，利用該批處理程序去關(guān)閉“系統(tǒng)防火墻”。修改注冊表，利用進(jìn)程映像劫持功能禁止指定的安全軟件運(yùn)行�！敖俪址浮弊兎Nbi會在被感染計(jì)算機(jī)系統(tǒng)的后臺連接駭客指定站點(diǎn)，下載包括“系統(tǒng)殺手”、“ARP殺手”、“代理木馬”、“機(jī)器狗”等大量木馬病毒到用戶計(jì)算機(jī)中安裝運(yùn)行，給用戶帶來極大的損失�！敖俪址浮弊兎Nbi還會在任務(wù)執(zhí)行完畢后，會馬上關(guān)閉退出。在退出時，被注入惡意代碼的系統(tǒng)“svchost.exe”進(jìn)程會刪除掉病毒所在磁盤中的文件，使用戶無法尋找到該病毒樣本。 \r\n\r\n病毒名稱：TrojanProxy.Agent.axo \r\n中 文 名：“代理木馬”變種axo \r\n病毒長度：35531字節(jié) \r\n病毒類型：木馬 \r\n危險(xiǎn)級別：★★ \r\n影響平臺：Win 9X/ME/NT/2000/XP/2003 \r\nTrojanProxy.Agent.axo“代理木馬”變種axo是“代理木馬”木馬家族的最新成員之一，采用Delphi編寫，并經(jīng)過添加保護(hù)殼處理�！按�理木馬”變種axo運(yùn)行后，自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\\system32\\”目錄下，重命名為“wfeoe.exe”和“yhiln.exe”，并將這兩個文件添加為啟動項(xiàng)，實(shí)現(xiàn)木馬開機(jī)自動運(yùn)行。提升自身權(quán)限，查找并強(qiáng)行關(guān)閉大量流行的安全軟件，大大降低了被感染計(jì)算機(jī)上的安全性。強(qiáng)行調(diào)用某些安全軟件自帶的卸載程序，將被感染計(jì)算機(jī)上的安全軟件卸載。強(qiáng)行篡改注冊表，利用進(jìn)程映像劫持功能禁止數(shù)百種安全軟件及調(diào)試工具運(yùn)行，致使用戶計(jì)算機(jī)系統(tǒng)毫無安全保障。在被感染計(jì)算機(jī)硬盤各盤符根目錄下以及移動存儲設(shè)備根目錄下創(chuàng)建“autorun.inf”文件和木馬主程序文件“yhiln.exe”（屬性為“系統(tǒng)、隱藏”），實(shí)現(xiàn)雙擊盤符啟動“代理木馬”變種axo目的，從而利用U盤、移動硬盤等移動設(shè)備進(jìn)行自我傳播。 \r\n\r\n針對以上病毒，江民反病毒中心建議廣大電腦用戶： \r\n\r\n    1、請立即升級江民殺毒軟件，開啟新一代智能分級高速殺毒引擎及各項(xiàng)監(jiān)控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計(jì)算機(jī)。 \r\n    2、江民KV網(wǎng)絡(luò)版的用戶請及時升級控制中心，并建議相關(guān)管理人員在適當(dāng)時候進(jìn)行全網(wǎng)查殺病毒，保證企業(yè)信息安全。 \r\n    3、全面開啟BOOTSCAN功能，在系統(tǒng)啟動前殺毒，清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。 \r\n    4、江民殺毒軟件采用窗口保護(hù)以及進(jìn)程保護(hù)技術(shù)，避免病毒關(guān)閉殺毒軟件進(jìn)程，確保殺毒軟件自身安全，更好地保護(hù)用戶計(jì)算機(jī)的安全。 \r\n    5、“網(wǎng)頁安全專家”可以檢測到用戶計(jì)算機(jī)上是否感染了惡意網(wǎng)頁，如檢測發(fā)現(xiàn)惡意網(wǎng)頁，用戶可以按照提示自動上報(bào)給國家計(jì)算機(jī)病毒應(yīng)急中心進(jìn)行處理。網(wǎng)頁安全專家下載地址：http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm \r\n    6、江民殺毒軟件可以在系統(tǒng)崩潰無法進(jìn)入的情況下，一鍵恢復(fù)系統(tǒng)，無論是惡性病毒破壞或電腦用戶誤刪除系統(tǒng)文件，都可輕松還原系統(tǒng)到無毒狀態(tài)或正常狀態(tài)。 \r\n    7、江民殺毒軟件“移動存儲接入殺毒”能杜絕病毒利用移動設(shè)備（如：U盤、移動硬盤等）入侵用戶計(jì)算機(jī)，完全保護(hù)計(jì)算機(jī)系統(tǒng)安全。 \r\n    8、江民殺毒軟件新型主動防御集成了BOOTSCAN、木馬一掃光、系統(tǒng)監(jiān)測、網(wǎng)頁監(jiān)控等多種主動防御功能，更可對未知病毒進(jìn)行主動監(jiān)控，對病毒層層攔截，即使有個別新病毒和惡性病毒入侵了系統(tǒng)，也無法逃脫江民殺毒軟件主動防御系統(tǒng)的層層截殺，更好地保護(hù)用戶上網(wǎng)安全。 \r\n    9、懷疑已中毒的用戶可使用江民免費(fèi)在線查毒進(jìn)行病毒查證。免費(fèi)在線查毒地址：http://online.jiangmin.com/chadu.asp \r\n\r\n    有關(guān)更詳盡的病毒技術(shù)資料請直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢，或訪問江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱。