转帖 紧急预警!!! 作者:寿宁。人间雨
紧急预警!!!
昨天下午规则组通过网络监控发现一异常木马病毒。
状态:从目前的跟踪情况来看,主要是以压缩包的形式与LHX武装直升机单机版游戏捆绑,并借助这款游戏的外壳镶入核心安装程序。
杀软监控情况:在解压后瑞星监控能及时发现(见附件1),但在“杀毒”后,提示重启系统后删除,可重新启动系统后,该木马依然存在;金山、KV和卡巴斯基以及诺顿等杀软和微软的间谍查杀程序还不能发现。
特征:在非WIN系统下,该木马病毒不能运行,但在WIN系统下直接进入DOS环境运行或是表现为WIN系统下的后台运行。运行后通过TCP1709端口向数个服务器传送本地各类密码等数据,并同时不间断地在后台下载灰鸽子等木马(见附件4)。
位置:驱动盘\WINDOWS\system32\vook.sys,但在WIN下或安全模式以及DOS下查找不出被控端主文件vook.sys ;在注册表中生成PendingFileRenameOperations,键值删除后,重新启动系统又会重新生成(见附件3);在系统启动项和进程表中不能发现相关的启动项目(见附件2)。
分析:初步分析认为这是个HSN混合型的、无(低层隐蔽)进程式木马病毒,核心安装文件带有智能自毁程序,一旦分离或反汇编,核心文件将自动摧毁(无任何代码显示),用常规的办法无法提取核心程序及其特征代码。
建议:用户注意上网,对一些带“色”广告的网站要特别留心,更不要随意点击小广告,对下载的游戏在解压前和安装前一定要先查杀,在安装过程中如有异常(如出现类似DOS的窗口)必须马上终止安装。
规则组正在加紧分析该木马病毒的特征!
