5月27日病毒日報:「焦點間諜」新變種 小心 「驅動殺手」

51CTO安全頻道今日提醒您注意：在明天的病毒中 「焦點間諜」變種 tr和 「驅動殺手」變種 a都值得關注。

 

1、明日高危病毒簡介及中毒現象描述：

 

◆「焦點間諜」變種tr是「焦點間諜」***家族的最新成員之一，採用高級語言編寫，並通過添加保護殼處理。「焦點間諜」變種tr運行後，自我複製到被感染計算機系統的「%SystemRoot%\system」目錄下，重命名爲「lljy080517.exe」，並在同一目錄下釋放病毒組件「lljy32.dll」。修改註冊表，實現***開機自動運行。強行篡改被感染計算機上的系統時間，導致某些安全軟件失效。在被感染的計算機上搜索與安全相關的軟件，一旦發現便強行將其關閉，大大下降了被感染計算機上的安全性。在後臺鏈接駭客指定的服務器，下載惡意程序並自動調用運行，給用戶帶來必定程度的危害。另外，「焦點間諜」變種tr可能會在各個盤符根目錄下建立「autorun.inf」文件以及病毒文件「auto.exe」，實現雙擊盤符啓動「焦點間諜」變種tr運行。

 

◆「驅動殺手」變種a是「驅動殺手」***家族的最新成員之一，採用VC++ 6.0編寫，並通過加殼處理。「驅動殺手」變種a運行後，在被感染計算機上釋放多個惡意DLL組件文件，並將文件屬性設置爲系統、隱藏、存檔。在被感染計算機系統的後臺將「%SystemRoot%\system32\drivers\」目錄下的驅動文件「beep.sys」替換成惡意驅動程序，並將惡意驅動程序自我註冊爲系統服務，還原系統「SSDT HOOK」，從而使部分安全軟件的保護功能失效，達到躲避安全軟件的防護和查殺的目的。該惡意驅動程序執行完畢後會自我刪除，並還原恢復被病毒替換的系統驅動文件「beep.sys」。修改註冊表，實現***開機自動運行。將惡意DLL組件程序插入到全部用戶級權限的進程中加載運行，隱藏自我，防止被查殺。在被感染計算機系統的後臺利用HOOK技術和內存截取等技術盜取網絡遊戲《大話西遊II》玩家的遊戲賬號、遊戲密碼、倉庫密碼、角色等級、金錢數量、所在區服、計算機名稱等信息，並在後臺將玩家信息發送到駭客指定的遠程服務器上，導致玩家的遊戲賬號、裝備物品、金錢等丟失，給遊戲玩家帶來很是大的損失。另外，「驅動殺手」變種a還具備躲避防火牆監控的功能，大大下降被感染計算機上的安全性。

 

2、針對以上病毒，51CTO安全頻道建議廣大用戶：

 

一、最好安裝專業的殺毒軟件進行全面監控並及時升級病毒代碼庫。建議用戶將一些主要監控常常打開，如郵件監控、內存監控等，目的是防止目前盛行的病毒、***、有害程序或代碼等***用戶計算機。

 

二、請勿隨意打開郵件中的附件，尤爲是來歷不明的郵件。企業級用戶可在通用的郵件服務器平臺開啓監控系統，在郵件網關處攔截病毒，確保郵件客戶端的安全。

 

三、企業級用戶應及時升級控制中心，並建議相關管理人員在適當時候進行全網查殺病毒。另外爲保證企業信息安全，應關閉共享目錄併爲管理員賬戶設置強口令，不要將管理員口令設置爲空或過於簡單的密碼。

 

截至記者發稿時止，江民的病毒庫已更新，並能查殺上述病毒。感謝江民科技爲51CTO安全頻道提供病毒信息。

 

【相關文章】

• 更多病毒日報

• 更多病毒週報