18日病毒预报:木马家族添新丁 小心“小狗”变种

【51CTO.com 独家报道】51CTO安全频道今日提醒您注意:在明天的病毒中“小偷派克斯”变种aye、“小狗”变种aao、“代理木马amb、“木马下载者ncg”和“Win32/Cutwail.GG”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“小偷派克斯”变种aye是“小偷派克斯”木马家族的最新成员之一,采用VC+编写,并经过添加保护壳处理。“小偷派克斯”变种aye运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名为“lphcpodj0eg11.exe”。将自身添加为启动项,实现木马开机自动运行。在“%SystemRoot%\system32\”目录下释放图片“phcpodj0eg11.bmp”并替换系统的当前桌面。在相同目录下释放屏保程序“blphcpodj0eg11.scr”并运行,该屏保伪装成系统的蓝屏错误。连接骇客指定站点,下载恶意程序,所下载的恶意程序可能包含网游木马、广告程序、后门等,给用户带来不同程度的损失。另外,“小偷派克斯”变种aye安装完毕后会自我删除。
◆“小狗”变种aao是“小狗”木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“小狗”变种aao运行后,在被感染计算机系统盘的“\Program Files\Web Technologies\”目录下释放病毒文件“wcs.exe”和“wcu.exe”,这两个文件均经过加壳处理。修改注册表,实现木马开机自动运行。强行篡改注册表,降低计算机的安全设置。连接骇客指定站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。另外,“小狗”变种aao安装完毕后会自我删除。
◆“代理木马amb该病毒为新破天一剑盗号木马,病毒运行之后获取系统目录将%System32%目录下的SFC_OS.DLL文件复制到%HomeDrive%目录下,调用LoadLibraryA加载该dll,然后再释放此动态链接库,然后将%HomeDrive%目录下的SFC_OS.DLL文件删除掉,释放驱动文件np3wod.sys到%system32%目录下,将%system32%\drivers目录下beep.sys驱动文件改名为beep.bin,释放病毒驱动文件beep.sys到%system32%\drivers目录下,恢复SSDT上主动防御挂钩的函数;令主动防御功能完全失效,等待加载完毕后将病毒驱动删除并把原来系统驱动还原,添加注册表启动项、调用API函数ZwQuerySystemInformation枚举内核模块,调用LoadLibraryA将ntkrnlpa.exe加载将KeServiceDescriptorTable导出(KeServiceDescriptorTable表还包含一个指向SSDT的指针),衍生病毒NTNSDKWOW.dll文件到%System32%目录下,病毒试图通过全局挂钩把NTNSDKWOW.dll注入到所有进程中,创建w1.BAT批处理文件删除病毒自身。通过键盘记录用户帐户及密码,以URL方式发送到指定的地址中。
◆“木马下载者ncg” 该病毒木马下载者,病毒运行后释ctfmon.exe文件到%Windir\目录下,并释放驱动文件ntdfdisk.sys到%System32%\drivers\目录下,创建注册表服务项,启动后删除ntdfdisk.sys与注册表相关键值。并向正常的exlorer.exe文件写入数据,造成用户的explorer.exe进程瞬间崩溃,判断当前进程里是否存在BKPCLIENT.EXE和MENU.EXE(贝壳磁盘保护)2个进程,存在写驱动穿透还原系统。释放的BAT文件,删除病毒释放到的各个文件下的文件,连接网络下载多个恶意程序,由于病毒种类繁多,给用户清理病毒带来极大的不便。
◆Win32/Cutwail.GG是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。
Cutwail运行时生成%Windows%\System32\main.sys文件。
病毒危害:
下载并运行任意文件;
发送大量的邮件;
Rootkit 功能。
二、针对以上病毒,51CTO安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止,江民、安天、冠群金辰的病毒库均已更新,并能查杀上述病毒。感谢江民科技、冠群金辰和安天为51CTO安全频道提供病毒信息。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)