铁军 2008-6-23 10:50
6月21日病毒播报(密码绑匪118784、360终结者)
[align=center][size=5][color=Red]金山毒霸每日病毒预警[/color][/size]
[/align]
“密码绑匪118784”(Win32.Encode.de.118784),这个病毒是个诈骗木马。它会遍历磁盘文件,找到多种格式的文件做高强度的加密,并在加密后的文件夹中留下口信,要挟用户付款解密。
“360终结者”(Win32.Troj.Kill360.dr.446464),这个病毒属于某木马综合体的一部分,用于对抗安全辅助软件360安全卫士。病毒被激活后会不停地在系统内搜索是否存在360安全卫士相关进程,然后利用360清除顽固文件的模块来反清除360。病毒作者这种“以子之矛攻子之盾”的思路比较有特点。
[size=4][color=Red]一、“密码绑匪118784”(Win32.Encode.de.118784)威胁级别:★★[/color][/size]
续上周的“恶毒战士”之后,本周毒霸反病毒工程师再次发现活动频率较高的诈骗型木马。与“恶毒战士”那种伪装成杀毒软件、骗取“杀毒劳务费”不同,此次的诈骗木马是采取直接绑架用户正常文件的方式来索取钱财。
该毒在进入用户电脑后,拷贝自身文件MiniMessageBox.exe到系统盘的%WINDOWS%\system32\目录下,并添加自己的数据到注册表启动项,以实现开机自启动。
如果顺利地运行起来,病毒就遍历磁盘,找到所有后缀为.txt.jpg.bmp.htm等格式的文件做加密,并在加密后的文件夹中生成一个“!_VNIMANIE_!.txt”文件,文件内容为病毒作者的邮箱及联系方式,要求受害用户与其联系,支付“赎金”获取解密方法。否则就“终生囚禁”这些文件,给用户造成工作和使用的不便。如果被加密的文件是商业用途,那么将有可能使用户遭受极大的经济损失。
毒霸反病毒工程师提醒用户,如果发现此类非法加密的木马,请立即与金山毒霸联系,寻求解决方案。
关于此病毒的详细分析报告,可在金山病毒大百科中查阅:
[url=http://vi.duba.net/virus/win32-encode-de-118784-50678.html]http://vi.duba.net/virus/win32-encode-de-118784-50678.html[/url]
[size=4][color=Red]二、“360终结者”(Win32.Troj.Kill360.dr.446464)威胁级别:★★[/color][/size]
该毒进入用户电脑后,立刻复制自身文件NetSpools.exe、NetSpools.sys、NetSpools.dll到系统盘的%WINDOWS%\System32\目录中,并将属性设置为系统和隐藏,文件时间设置与系统文件winlogo.exe一致。
然后,病毒修改注册表,创建自己的服务NetSpoolsvsDrv。为了欺骗用户,NetSpoolsvs服务会被描述为“协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果禁用此服务,依赖此服务的其他服务将无法启动”。
接下来,病毒调用之前释放出的NetSpools.dll文件。这个文件实际是360安全卫士用于清除顽固文件的AntiRK.dll文件,病毒会利用其提供的功能函数,结束掉360安全卫士的自身进程、并删除其进程文件,完美的实现“以子之矛攻子之盾”。当这个过程结束后,360安全卫士的大量文件,如
safeboxtray.exe,360tray.exe,360rpt.exe,360safe.exe,Iparmor.exe,USBSAFE.exe等,都会被删除。
与此同时,病毒还会删除360安全卫士在注册表中相应启动项信息,并修改hosts文件,将360相关网站域名屏蔽,使用户无法访问360网站。
经毒霸反病毒工程师分析,该病毒除破坏360安全卫士外,没有别的破坏行为。它很有可能是某木马综合体的一部分,负责为该木马主程序的正常运行扫清障碍。
关于此病毒的详细分析报告,可在金山病毒大百科中查阅:
[url=http://vi.duba.net/virus/win32-troj-kill360-dr-446464-50679.html]http://vi.duba.net/virus/win32-troj-kill360-dr-446464-50679.html[/url]
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年6月21的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录[url=http://www.duba.net]http://www.duba.net[/url]免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
