卡巴斯基实验室在2009年3月24日到3月25日期间监测到一个异常活跃的木马程序,即“特工”木马变种(Trojan.Win32.Agent2.gcy),该木马程序的活跃程度占了国内互联网上全部恶意程序的40.65%。
鉴于此木马危害性较强,并且传播范围较广。卡巴斯基实验室认为有必要特别提醒用户注意,同时就该木马的恶意行为进行一些技术分析。
该木马为windows可执行文件,采用Upack加壳,在感染用户计算机后,它会进行下列动作:
1. 释放下列文件到计算机磁盘运行: %system32%\killdll.dll, %Temp%\_ok.bat, %system32%\updater.exe .
2. 替换驱动程序%system32%\drivers\aec.sys并加载运行,这个驱动会恢复安全软件的SSDT HOOK使其自保护失效。
3. 替换驱动程序%system32%\drivers\AsyncMac.sys并加载运行,这个驱动用于结束某些无法通过恢复SSDT HOOK结束的安全软件进程。
释放的%Temp%\_ok.bat用于删除自身,其内容如下: Repeat, del %s, If exist %s goto Repeat, rmdir %s , del %s.
释放的%system32%\killdll.dll主要行为如下:创建映像劫持HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*,阻止安全软件的进程启动。使用sc命令关闭安全软件的服务,用taskkill关闭反病毒软件进程,如: cmd /c sc config avp start= disabled, cmd /c taskkill /im avp.exe /f.
释放的%system32%\updater.exe主要行为如下:创建启动项KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Ferrari,实现开机自启动。
每两小时检查自身是否有更新。
创建文件 %temp%\随机数字_xeex.tmp,根据此列表从 http://ux.ggovxx.com 下载36种各类恶意程序至临时目录的“随机数字_xeex.exe”并运行。
不过请用户们不要惊慌,卡巴斯基实验室已经能够成功拦截该木马所下载的恶意程序,而且目前,卡巴斯基的反病毒产品也已经完全能够查杀该木马。请用户及时升级卡巴斯基反病毒软件的病毒库,以防因感染此木马,而给您带来不必要的损失。
虽然该木马最近的活跃度有所下降,但仍然在恶意软件的排行榜中排在第六位。因此,由它而产生的影响也不会在近期消失,用户还是非常必要提高警惕的。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
网友评论