小不點木馬篡改注冊表 禁止近百種殺軟運行

　　作者：kaduo

　　【賽迪網-IT技術報道】江民今日提醒您注意：在今天的病毒中Trojan/Small.epy“小不點”變種epy和TrojanDownloader.Mutant.dq“突變王”變種dq值得關注。

　　病毒名稱：Trojan/Small.epy

　　中 文 名：“小不點”變種epy

　　病毒長度：29184字節

　　病毒類型：木馬

　　危險級別：★★

　　影響平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/Small.epy“小不點”變種epy是“小不點”木馬家族的最新成員之一，采用VC++編寫。“小不點”變種epy運行後，自我復制到“%SystemRoot%/system32/”文件夾下，重命名為“svch0st.exe”，並將文件屬性設置為系統、隱藏。修改注冊表，實現木馬開機自動運行。自我復制到啟動文件夾下並重命名，文件名偽裝成某安全軟件的安裝包。啟動“IExplore.exe”進程並將病毒代碼注入其中，隱藏自我，防止被查殺。強行篡改注冊表內容進行映像劫持，禁止近百種安全軟件、安全輔助工具以及調試程序的運行，導致用戶計算機系統毫無安全保障，嚴重威脅用戶計算機的安全。修改hosts文件，屏蔽大量安全站點，致使大量安全軟件無法升級。提升自身權限，強行關閉大量流行安全軟件，大大降低了被感染計算機上的安全性。在被感染計算機系統的後台連接駭客指定站點，下載惡意程序。其中，所下載的惡意程序可能是竊取網絡游戲帳戶的木馬、廣告程序、後門等，給被感染計算機用戶帶來不同程度的損失。另外，“小不點”變種epy會在被感染計算機系統的各個盤符根目錄下創建“autorun.inf”文件和木馬主程序“setup.exe”文件(文件屬性設置為“系統、隱藏”)，達到雙擊盤符啟動“小不點”變種epy運行的目的。

　　病毒名稱：TrojanDownloader.Mutant.dq

　　中 文 名：“突變王”變種dq

　　病毒類型：木馬下載器

　　病毒長度：33021字節

　　危險級別：★★

　　影響平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanDownloader.Mutant.dq“突變王”變種dq是“突變王”木馬家族的最新成員之一，采用高級語言編寫，並經過添加保護殼處理。“突變王”變種dq運行後，在被感染計算機系統的“%SystemRoot%/system32/”目錄下釋放病毒組件“WinNt32.dl_”；在“%SystemRoot%/system32/drivers”目錄下釋放惡意驅動程序“Oas63.sys”。修改注冊表，實現木馬開機自動運行，並使惡意驅動程序在安全模式下也能夠開機自動運行。掛鉤系統內核函數，保護病毒程序不被復制、修改、刪除。將病毒代碼注入到系統進程中加載運行，隱藏自身，防止被查殺。在被感染計算機系統的後台連接駭客指定站點，下載惡意程序並在被感染計算機上自動運行。其中，所下載的惡意程序可能包含盜號類木馬、惡意廣告程序、後門等，給用戶帶來不同程度的損失。

　　針對以上病毒，江民反病毒中心建議廣大電腦用戶：

　　1、請立即升級江民殺毒軟件，開啟新一代智能分級高速殺毒引擎及各項監控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。

　　2、江民KV網絡版的用戶請及時升級控制中心，並建議相關管理人員在適當時候進行全網查殺病毒，保證企業信息安全。

　　3、全面開啟BOOTSCAN功能，在系統啟動前殺毒，清除具有自我保護和反攻殺毒軟件的惡性病毒。

　　4、江民殺毒軟件“移動存儲接入殺毒”能杜絕病毒利用移動設備(如：U盤、移動硬盤等)入侵用戶計算機，完全保護計算機系統安全。

　　(責任編輯:董建偉)

　　作者：kaduo

　　【賽迪網-IT技術報道】據瑞星全球反病毒監測網介紹，今日(2008年6月27日)有一個病毒特別值得注意，它是：“安德夫木馬變種IES(Trojan.Win32.Undef. ies)”病毒。該病毒通過網絡傳播，病毒會從黑客指定網站下載各種木馬、病毒等惡意程序，給用戶計算機安全帶來威脅。

　　本日熱門病毒：

　　“安德夫木馬變種IES(Trojan.Win32.Undef. ies)”病毒：

　　警惕程度：★★★

　　木馬病毒：通過網絡傳播

　　依賴系統：Windows NT/2000/XP/2003

　　這是一個木馬病毒。病毒運行後會將自身文件復制到系統目錄下，並修改注冊表啟動項，實現隨系統自啟動。病毒會將自身注入到系統正常進程，給用戶查殺病毒帶來困難。此外，病毒會試圖關閉多種殺毒軟件和安全工具，並會記錄用戶鍵盤和鼠標操作，竊取用戶的網游的賬號、密碼等隱私信息，並發送給黑客，使玩家蒙受損失。

　　反病毒專家建議電腦用戶采取以下措施預防該病毒：

　　1、建立良好的安全習慣，不打開可疑郵件和可疑網站；

　　2、很多病毒利用漏洞傳播，一定要及時給系統打補丁；

　　3、安裝專業的防毒軟件升級到最新版本，並打開實時監控程序；

　　4、為本機管理員賬號設置較為復雜的密碼，預防病毒通過密碼猜測進行傳播；

　　5、打開防護中心開啟全部防護，防止病毒通過IE漏洞等侵入計算機。

　　(責任編輯：董建偉)

　　作者：kaduo

　　【賽迪網-IT技術報道】Win32/Cutwail.GD是一種帶有rootkit功能的特洛伊病毒，能夠修改系統的winlogon.exe文件。它可能用來下載並運行任意文件，將它們保存到磁盤或者注入其它的程序。同時，這些文件被用來發送大量的郵件和更新Cutwail的最新變體。

　　Win32.Cutwail.GD 病毒特征

　　病毒名稱：Win32.Cutwail.GD

　　瘋狂性：低

　　破壞性：中

　　普及度：中

　　Win32.Cutwail.GD 病毒描述

　　Win32/Cutwail.GD是一種帶有rootkit功能的特洛伊病毒，能夠修改系統的winlogon.exe文件。它可能用來下載並運行任意文件，將它們保存到磁盤或者注入其它的程序。同時，這些文件被用來發送大量的郵件和更新Cutwail的最新變體。

　　Cutwail運行時生成%Windows%/System32/main.sys文件。

　　Win32.Cutwail.GD 病毒危害

　　下載並運行任意文件；

　　發送大量的郵件；

　　Rootkit 功能。

　　建議：

　　不要隨意運行exe文件；

　　不要隨意打開郵件附件；

　　設置強壯的管理員賬號。

　　“KILL”提示大家：

　　1.不要隨意運行郵件的附件，尤其是英文郵件。

　　2.最好及時升級病毒代碼庫。

　　3.建議企業級用戶使用網關型產品。

　　4.關閉共享目錄並為管理員賬戶設置強口令，不要將管理員口令設置為空或過於簡單的密碼。

　　(責任編輯:董建偉)