12月29日,金山云安全中心病毒疫情系统触发警报:半日内云安全服务器收集到23220个同类病毒新样本,这些病毒已经入侵了多达20万台PC。分析确认为蝗虫病毒新型变种,该病毒通过网页挂马、流行病毒下载器传播。而传播此盗号木马的的下载器一般会对抗杀毒软件,造成杀毒软件不能打开、电脑反映速度变慢。反病毒工程师分析认为该系列的盗号木马技术成熟,传播途径广泛,目标游戏非常的多(存在专门的生成器),基本囊括了市面上大多数的游戏,例如魔兽世界,大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。
目前金山毒霸已经紧急升级病毒库防御此病毒,建议毒霸用户升级到最新版本防御,并开启金山清理专家的网页防挂马功能。
新Hbkenel变种相对于老版本的变化(盗号使用的手段没有变化)
1 去除hbkernel32.sys病毒驱动文件(其实是一段无效数据,作者称其用于校验)
2 增加两个启动方式
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelay
3 释放的病毒的dll文件由原来的hb*.dll系列变为随机8位十六进制数
4 代码调用API方式进行了变化,字符串也进行了一些变化。
附一张急救箱检测到这个病毒时的异常列表
HB蝗虫病毒防护方案:
1、更新病毒库、开启实时监控。金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年12月29日的病毒库即可查杀以上病毒,专家提醒,一定要开启实时监控功能。
2、使用金山清理专家打全补丁。安装金山系统清理专家不会与任何杀毒软件产生冲突,并且只下载与安全相关的系统补丁和应用软件补丁程序。
3、单位局域网或小区宽带用户带需要安装金山ARP防火墙,防止病毒通过ARP攻击在局域网中传播。
查杀方案:
金山系统急救箱也已经针对此病毒完成更新
对于没及时更新病毒库或非毒霸用户如果不小心感染此病毒,可以访问http://www.duba.net/zhuansha/263.shtml免费下载最新版金山急救箱进行查杀。
特别提醒:某些下载器会造成用户打不开金山系统急救箱下载页面,用户可以通过搜索其他合作站点的下载地址安装此产品。
其他建议:
由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
网友评论