萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 安全防護出疏忽 新蠕蟲借機入侵路由器

安全防護出疏忽 新蠕蟲借機入侵路由器

  作者:木淼鑫

  【賽迪網-IT技術報道】日前,一種新的蠕蟲病毒正在通過攻擊由Linux發行的DSL路由器進行傳播。

  今年年初,代號為psyb0t的蠕蟲病毒已經在網絡中傳播,其攻擊目標一般為Mipsel路由器。該路由器是Debian Linux形式發行,應用於MIPS處理器。這種蠕蟲病毒尚為首次出現。

  據DroneBL研究人員估計,約有10萬台路由器遭受了psyb0t蠕蟲病毒的攻擊。

  Psyb0t蠕蟲病毒主要通過強行攻擊的方式獲取用戶名和密碼,由此看來攻擊並沒有利用系統漏洞,而是鑽了安全防護的空子。

  Psyb0t蠕蟲病毒攻擊一旦得手,就會遙控路由器和受感染硬件成為其幫凶,繼續對其它網絡發起攻擊。同時,該病毒還將利用深度包檢測技術嘗試獲取其它站點的用戶名和密碼。

  

  作者:木淼鑫

  【賽迪網-IT技術報道】系統原本關閉的自動播放功能突然莫名其妙的被打開,隱藏的系統文件也無法看到,這不是什麼系統故障,都是盜號木馬“瑪格尼亞”新變種Trojan/PSW.Magania.czi在搗鬼。

  “瑪格尼亞”變種czi采用高級語言編寫,並且經過加殼保護處理。

  “瑪格尼亞”變種czi運行後,會在被感染計算機系統的 “%SystemRoot%/”目錄下釋放惡意程序“1.exe”。該惡意程序運行後,又會自我復制到“%SystemRoot%/system32/” 目錄下並重新命名為“rttrwq.exe”。同時,還會在相同目錄中釋放惡意DLL組件“mkfght*.dll”,並設置上述文件的屬性為“系統、只讀、隱藏”。

  “瑪格尼亞”變種czi是一個盜取“熱血江湖”、“十二之天Online”、“ 冒險島Online”等網絡游戲賬號的木馬程序,運行後會在被感染計算機的後台秘密監視系統中運行的指定游戲進程。一旦發現這些進程的存在,便會通過鍵盤鉤子等手段盜取網絡游戲玩家的游戲賬號、游戲密碼、倉庫密碼等信息,並在後台將竊取到的玩家機密信息發送到駭客指定的遠程服務器站點上,致使游戲玩家的賬號、裝備、物品、金錢等丟失,給游戲玩家造成了不同程度的損失。

  “瑪格尼亞”變種czi還可以通過U盤等移動存儲設備進行傳播,同時還會通過強行篡改注冊表鍵值的方式開啟計算機中所有驅動器的自動播放功能,以及破壞“顯示系統隱藏文件”的功能。

  “瑪格尼亞”變種czi會通過在注冊表啟動項中添加鍵值“ertyuop”的方式來實現開機後的自動運行。

  

  作者:木淼鑫

  【賽迪網-IT技術報道】近期你的電腦裡有否出現“Backdoor/Delf”後門家族新成員Backdoor/Delf.jkt的身影?如果答案是肯定的,那麼小心,你的電腦很可能已經成為了駭客的肉雞。

  “Backdoor/Delf”變種jkt采用“Borland Delphi 6.0 - 7.0”編寫,並且經過加殼保護處理。

  “Backdoor/Delf”變種jkt運行後,會自我復制到被感染計算機系統的 “%SystemRoot%/system32/”目錄下,並分別重新命名為“sys_temtray.exe”、“sys_temtray.jpg”和 “sys_temtray.txt”。同時,還會在該目錄下釋放惡意DLL組件“hz_sys_temtray.dll”和“keyHook.dll”。 “Backdoor/Delf”變種jkt運行時,會將釋放的惡意DLL組件插入到被感染計算機系統的“spoolsv.exe”進程中隱密運行,以此隱藏自我,防止被輕易地查殺。

  “Backdoor/Delf”變種jkt會在被感染計算機系統的後台不斷嘗試與控制端(IP地址為:123.186.*.28:8760)進行連接,一旦連接成功,則被感染計算機便會淪為駭客的傀儡主機。駭客通過該後門可以向被感染計算機發送任意指令,從而執行惡意控制操作,其中包括:文件管理、進程控制、注冊表操作、遠程命令執行、屏幕監控、鍵盤監聽、鼠標控制、視頻監控等,會給被感染計算機用戶的個人隱私,甚至是商業機密等造成不同程度的損失。

  同時,駭客還可以向被感染計算機發送大量的病毒、木馬、流氓軟件等惡意程序,從而致使用戶面臨更加嚴重的威脅。該後門還可以進行自我更新,從而更好的躲避查殺,提高了自身的生存幾率。

  另外,“Backdoor/Delf”變種jkt會在被感染計算機中注冊名為“WinServerVIEwee”的系統服務,以此實現後門程序的開機自啟。

  

copyright © 萬盛學電腦網 all rights reserved