網路城邦
上一篇 回創作列表 下一篇   字體:
無極殺手-病毒年終爆發
2009/11/20 12:53:41瀏覽781|回應0|推薦1
無極殺手”病毒年終爆發 平均每日感染超過萬台電腦

   1116 ,江民全球病毒監控系統、雲安全防毒系統監測到一個名為“無極殺手”變種bWin32/Piloyd.b)的病毒正在網際網路上瘋狂傳播,該病毒在短短20天的時間內就感染了37萬餘台電腦,更是躍升到江民病毒排行榜的第四位。  

    據江民反病毒專家介紹,Worm/Piloyd家族近期更新十分頻繁,其中以“無極殺手”變種bWin32/Piloyd.b)最為明顯。該病毒運行後,會試圖關閉大量安全軟體的相關進程(《江民殺毒軟體》不會被關閉),並利用註冊表映射檔劫持技術,使得這些安全程式下一次使用時無法再啟動;當發現系統中有特定的安全軟體存在時,病毒就會釋放惡意驅動程式以結束安全軟體的自我保護。  

    同時,病毒會通過自帶的弱密碼列表對網路上的芳鄰進行猜解,被猜解成功的電腦將受到病毒的感染,病毒會感染電腦上的“exe”、“htm”、“html”、“asp”、“aspx”和“rar”檔,當用戶運行這些受感染的可執行檔時,將會啟動病毒,自動連接駭客指定的網站“http://bbnn7*.114central.com”,下載大量惡意程式,在所下載的惡意程式中有90%以上都是盜號木馬病毒,嚴重威脅用戶私密資訊安全。  

   江民反病毒專家提醒廣大用戶,由於該病毒還可以通過移動存儲設備進行傳播,因此建議用戶關閉系統自動播放功能或插入USB碟後在自動播放功能表中選擇殺毒軟體對USB碟進行接入前掃描,及時升級《江民殺毒軟體》病毒庫並對整個電腦系統進行檢查清理。  

   為了避免遭受更多的未知病毒侵害,反病毒專家建議安裝具備主動防禦“沙盒技術”和啟發式掃描功能的正版殺毒軟體,開啟《江民殺毒軟體》主動防禦系統監控功能,該功能可對病毒試圖下載惡意程式、強行篡改系統時間、注入進程和調用其他惡意程式等行為進行監控並自動干預、處理,有效地遏制了未知病毒對系統所造成的干擾和破壞,更大程度的提高了電腦對於未知病毒的防範能力,確保用戶電腦免遭病毒侵害。


江民發佈“無極殺手”病毒(Piloyd.b)技術分析報告

   1116 ,江民反病毒中心監測到,一個名為“無極殺手”變種bWin32/Piloyd.b)的病毒正在網際網路上瘋狂傳播,該病毒在短短20天的時間內就感染了37萬餘台電腦。  

   江民反病毒專家分析,病毒運行後,生成qmgr.dll病毒檔,載入sfc_os.dll並查找其5號導出函數,使得系統的檔保護對於其要修改的qmgr.dll失效,然後病毒從資源中讀取資料寫到qmgr.dll,修改該檔時間,並啟動對應的服務。然後在系統目錄下把自身複製為lsasvc.dll並在臨時目錄釋放“TempDel.bat”以刪除自身。                    

   病毒檢查當前模組所在進程是否為360tray.exe,如果是則創建一個名為"360SpShadow0"的設備,通過發送IO控制碼的方式控制繞過360tray.exe的檢測,完成後,退出程式。  

   查找當前系統中是否存在進程"360tray.exe",如果有,則%SystemRoot%\system32\qmgr.dll複製為%SystemRoot%\system32\ 1l 1.dll,%SystemRoot%\system32\ 1l 1.dll注入到目標進程空間,從而第一步的內容得到執行,完成後,刪除%SystemRoot%\system32\ 1l 1.dll,同時清空hosts檔。  

   完成以上動作後,病毒會創建多個線程執行不同操作:  

   qmgr.dll對應的BITS服務啟動類型設置為自動。

   刪除如下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network破壞安全模式  

   然後在暫存檔案夾內創建一個名為LiTdi.sys的驅動,創建名為LiTdi服務,並啟動服務。查找相關殺毒軟體或安全軟體進程,並向驅動發送IO控制碼的方式結束相關進程。  

   病毒還會調用IE訪問http://nbtj.114anhui.com/msn/163.htm做感染統計。從表項中依次選擇下載十幾種惡意程式,其中多數為盜號木馬。  

   病毒還會感染可移動存儲設備上的exe,rar,htm,html,asp,aspx文件,對於副檔名為.rar的檔,病毒還會解包感染以上副檔名檔後再壓縮回去。對於htm,html,asp,aspx的網頁檔,病毒會在其尾部加上“的惡意代碼,使得這些網頁檔成為病毒的二次傳播源,用戶一旦點擊這些被感染檔,則會被病毒感染。  

   病毒還會通過自動播放功能傳播。查找可移動存儲設備並在其根目錄下生成autorun.inf,建立一個名為recycle.{645FF040-5081-101B -9F 08-00AA 002F 954E}的文件夾,把%SystemRoot%\system32\dllcache\lsasvc.dll複製到該目錄下為Ghost.exe  

   通過自帶的弱密碼列表對網路上的芳鄰進行猜解,被猜解成功的管理員帳戶密碼的電腦將受到感染;如果連接成功,則將C:\WINDOWS\system32\dllcache\lsasvc.dll拷貝到對方機器的C:\cm.exe,同時創建計畫任務以啟動該病毒。  

   針對該病毒,《江民防毒軟體》已緊急升級,用戶只需升級殺毒軟體到最新病毒庫,開啟主動防禦和即時監控,即可有效防禦病毒,免遭“無極殺手”病毒侵害,確保電腦資料安全。

( 知識學習隨堂筆記 )
回應 推薦文章 列印 加入我的文摘
上一篇 回創作列表 下一篇

引用
引用網址:https://classic-blog.udn.com/article/trackback.jsp?uid=e91060092001&aid=3515253