关注恶意软件:
名称:“洪水”木马(Trojan-DDos.Win32.Agent.ly)
大小:33.1 KB
是否加壳:否
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista/Win7
具体表现:
创建文件: %system32%\temp2.bat %system32%\zdywuxp.exe %system32%\zdywuxp_svr.dat
创建服务: Zdywuxp
修改注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zdywuxp HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zdywuxp ImagePath %system32%\zdywuxp.exe
下载文件: http://xx55.3322.org:55/55.exe -> %Program Files%\cao.exe
发送中毒者信息至: xxxx374.3322.org
恶意行为:首先,该木马通过在程序入口点插入花指令来干扰反病毒软件的查杀,然后创建tempc.bat批处理文件将自身拷贝到%system32%\zdywuxp,再创建temp2.bat批处理 将"zdywuxp"重命名为"zdywuxp.exe"。通过将寄存器EBX异或26的方法解密出恶意代码,创建服务“zdywuxp”指向%system32% \zdywuxp.exe,达到开启自动启动的目的。创建服务后再从恶意网址http://xx55.3322.org:55下载其他恶意程序并执行。该恶意程序还会将中毒者信息发送至xxxx374.3322.org。此外,“洪水”木马还具有分布式拒绝服务攻击的功能,黑客可以控制大量感染计算机发送大量数据包对网站和个人进行洪水攻击。该恶意程序还会查找任务管理器窗口,通过发送消息的方式将任务管理器中恶意进程名修改为svchost.exe,以提高隐蔽性。最后还会调用命令行“%system32%\cmd.exe /c del”将恶意程序自身删除。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
网友评论