关注恶意软件:
恶意软件名称: “庇护神”木马(Trojan.Win32.Antavka.mu.)
恶意软件类型:木马
长度:14948字节
加壳方式:PE_Patch.PseudoSign、PE_Patch.UPX、UPX三重加壳
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista
具体表现:
“庇护神”木马一般会协同其他下载器木马和盗号木马共同工作,各司其职。“庇护神”木马能够有效保护其他木马不被安全软件发现和清除。它一般通过网页挂马或下载器下载等途径感染用户计算机。一旦感染,它会在用户计算机释放以下文件:
%systemroot%\sample.exe %system%\dll.exe
然后,创建注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe debugger "SvchoSt.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe debugger "SvchoSt.exe" 等。
“庇护神”木马主要用于强制关闭安全软件进程,保护下载器木马、盗号木马等。目前已知的 就有“注入者木马”、“快播在线寄生虫”等木马、“IMG-WMF漏洞攻击器”等恶性下载器木马。
木马运行后会从自身中释放文件%system%\dll.exe,此文件是一个驱动程序文件,被卡巴斯基检测为Rootkit.Win32.Agent.pkw。之后木马会遍历系统中所有进程,查找ravtask、rstray、360tray、safeboxtray、ccenter、ravmond等进程,如果找到,则调用驱动程序强制将其关闭。然后木马会创建IFEO映像劫持注册表项,劫持大量安全软件程序,使之关闭后无法启动。而IFEO映像劫持注册表项中debugger键值指向的程序即为被保护的下载器木马。通常此类下载器会下载执行大量盗号木马。
卡巴斯基已经可以查杀此木马,建议您尽快安装卡巴斯基反病毒软件并将病毒库升级到最新,以免感染给您造成不必要的损失。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
网友评论