关注恶意软件:
恶意软件名称: “VB入侵者”木马(Trojan.Win32.Inject.aatw)
恶意软件类型:木马
长度:44560字节
加密方式:UPX
影响的平台:WIN9X/ME/NT/2000/XP/2003/VISTA
“VB入侵者”木马具体行为:
该木马通常利用网页挂马的形式感染用户计算机,并且其自我保护机制非常完善。一旦感染,它会将自身拷贝至
%systemroot%\system32\activex.exe
%systemroot%\system32\wbem\fonts.exe
%systemroot%\Cursors\beifen.exe
释放两个exe程序,其中一个被释放至%systemroot%\Cursors\qqwx.exe并运行,此qqwx.exe将自身作为服务启动,并创建以下注册表服务项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Type dword:00000110 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Start dword:00000002 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft ErrorControl dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft ImagePath hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,43,75,72,73,6f,72,73,5c,71,71,77,78,2e,65,78,65,00, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft DisplayName "Microsoft sp6" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft ObjectName "LocalSystem" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Description "系统登陆初始界面,终止该服务将导致系统不能正常登陆"。
另外还创建注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run StormCodec_Helper 使得%systemroot%\system32\activex.exe可以随机启动,并与activex.exe构成双进程保护。另一个被释放至%systemroot%\system32\LSSAS.EXE,用于关闭反病毒软件。
完成上述保护措施后,木马就会自动联网,向%systemroot%\system32\目录下下载运行其他恶意程序,危害用户计算机安全。
卡巴斯基安全软件已经可以查杀该恶意软件,建议您尽快安装卡巴斯基安全软件并将病毒库升级到最新,以免感染给您造成不必要的损失和麻烦。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
网友评论