鬼影病毒
令众多网民色变的“鬼影病毒”,最近又爆出新的变种“鬼影6”。该变种主要盗取用户的网游账号,具有极强的免杀能力、甚至还能主动攻击杀毒软件。预计鬼影6已感染超过1万台电脑。被鬼影6感染的电脑,不仅杀毒软件失常,电脑运行速度缓慢、经常蓝屏,连系统重装都没用。还会自动下载梦幻西游、CF等热门网络游戏的盗号木马群,导致用户的财产受损。
病毒攻击分析:
隐藏端口驱动的相关驱动文件,在上述第二点中提到的StartIO被替换成病毒例程后,如果想将其修复,其中的一个方法就是需要用到相关驱动的原始文件,而病毒将其隐藏,意图使相关修复失败,在此点上可以较明显的体现出病毒作者对rootkit对抗过程的了解。
不断回写StartIO 例程,即使有相关软件采用特殊方法将StartIO例程修复,病毒也会再次修改回去。
隐藏病毒内存模块及文件模块,内存模块被隐藏到了内核模块的末尾处,而文件模块以扇区的形式隐藏于磁盘末尾,而这些扇区也在上述病毒StartIO例程的保护范围内。
阻止主流杀软、ark工具、专杀的运行,具有较强的AV特征。
由于该病毒是组合拳,鬼影6除了以上恶性行为外,还会下载大量盗号木马,盗取用户游戏钱财。
图1:鬼影病毒
点评:对于这种恶性攻击不要怕。金山毒霸独有的边界防御已经完美支持对此类样本的拦截防御。所以用户不需要惊慌,但曾经使用过cf外挂、传奇私服且关闭过毒霸的用户,若出现电脑卡、运行缓慢、蓝屏等疑似鬼影6中毒现象的话,还可以使用金山顽固木马专杀。
打印机病毒
本周另一个焦点病毒是打印机炸弹(Trojan.Milicenso)。用户点击某网站链接,通过web浏览器访问已被感染的网站Trojan.Milicenso具有自我保护措施。运行以后会首先检测用户环境是否是真实用户计算机。然后,它会释放一个恶意的dll文件到系统目录,同时创建注册表项并写入该病毒需要加载的恶意模块。Trojan.Milicenso会创建一个系统任务,使得系统启动时自动加载释放的dll文件,之后该木马将自身从用户计算机上删除。目前至少有4000个网站被该木马劫持。该木马运行以后还可能导致用户打印机失效,因此也被称为“打印机炸弹”。
图2:打印机病毒
点评:虽然目前还没有防毒软件可以防患,但是只要你定期升级杀毒软件,相信很快就可以防御此病毒了。
网友评论