江民今日提醒您注意:在今天的病毒中Worm/Downloader.kd“桌面幽灵”变种kd和Trojan/PSW.Magania.cio“玛格尼亚”变种cio值得关注。
' t$ }! T+ w. y% a. \8 E7 X
病毒名称:Worm/Downloader.kd
2 Q2 C; W: O6 d5 N" r: I
中 文 名:“桌面幽灵”变种kd
7 m) Y+ N$ K( ~- i' j6 D
病毒长度:36792字节
0 t8 s# O: U+ S1 ~5 @8 _
病毒类型:蠕虫
8 l9 j9 e( ~/ t1 i0 x
危险级别:★★
8 k9 Y! F+ L' U, J5 K1 O影响平台:Win 9X/ME/NT/2000/XP/2003
$ S; e) s/ D' G: v' X
Worm/Downloader.kd“桌面幽灵”变种kd是“桌面幽灵”蠕虫家族的最新成员之一,采用Visual C++ 6.0编写,并经过加壳处理。“桌面幽灵”变种kd运行后,自动检测自身进程是否被其它调试软件所调试分析,一旦发现便自动关闭退出。强行将系统时间设置为2001年,导致某些安全软件杀毒和保护功能失效。在被感染计算机的后台调用系统“svchost.exe”进程,并将恶意代码注入到其中运行,实现反安全软件的功能,然后进行恶意操作。注入的恶意代码运行后,在被感染计算机系统的“%SystemRoot%\system32\”目录下创建病毒配置文件。在临时文件夹下释放3个带有“wxp2ins”字样的恶意驱动文件,文件名随机生成,并将文件属性设置为隐藏。这些驱动文件可还原系统“SSDT”,致使某些安全软件的防御和监控功能失效,从而达到躲避监控的目的,驱动文件还可能会覆盖破坏系统程序“explorer.exe”,把恶意可执行代码写入到系统程序中,具有绕过“还原保护系统”,覆盖破坏被感染计算机真实磁盘中系统文件的功能,使用户防不胜防。遍历当前计算机系统中的进程列表,一旦发现与安全相关的进程,强行将其关闭。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建批处理文件并调用运行,利用该批处理程序去关闭“系统防火墙”。修改注册表,利用进程映像劫持功能禁止指定的安全软件运行。“桌面幽灵”变种kd会在被感染计算机系统的后台连接骇客指定站点,下载包括“系统杀手”、“ARP杀手”、“代理木马”、“机器狗”等大量木马病毒到用户计算机中安装运行,给用户带来极大的损失。“桌面幽灵”变种kd还会在任务执行完毕后,马上关闭退出。在退出时,被注入恶意代码的系统“svchost.exe”进程会删除掉病毒所在磁盘中的文件,使用户无法寻找到该病毒样本。
5 {' S) s% y1 r9 M* a# d$ {$ v
病毒名称:Trojan/PSW.Magania.cio
1 C* [0 r, p6 m1 `; p! a/ ~* ^中 文 名:“玛格尼亚”变种cio
) Y$ v _& k# k. B" O. }病毒长度:30720字节
! B0 ] J3 b0 \* q* z
病毒类型:木马
6 G7 F b, f8 L, X
危险级别:★★
5 C n c( h0 C1 w3 i$ T; U
影响平台:Win 9X/ME/NT/2000/XP/2003
h8 f8 X, M) B& n b
Trojan/PSW.Magania.cio“玛格尼亚”变种cio是“玛格尼亚”木马家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“玛格尼亚”变种cio运行后,自我复制到被感染计算机系统的“%SystemRoot%\MayaBaby\”目录下,重命名为“MayaBabyMain.exe”。在同一目录下释放“MayaBabyDll.dat”病毒组件与“MayaBabySYS.dat”恶意驱动程序。自我注册为系统服务,实现木马开机自动运行。将病毒代码注入到系统进程中加载运行,隐藏自我,防止被查杀。加载恶意驱动程序,恢复SSDT,隐藏自身文件,致使部分安全软件的监控功能失效。查找并强行关闭某些安全软件,导致用户计算机系统毫无安全保障。在被感染计算机系统后台连接骇客指定站点,下载大量的恶意程序并在被感染计算机上自动运行。其中,所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
8 [* G t5 C1 U" U
针对以上病毒,江民反病毒中心建议广大电脑用户:
% J) ^% J6 g8 h8 x3 F% I) H) ^
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
P; Y J. ]/ g$ O" C 2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
2 ]$ M, V) U! o/ f 3、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
6 J" C8 U; ` e2 ]: B
4、江民杀毒软件采用窗口保护以及进程保护技术,避免病毒关闭杀毒软件进程,确保杀毒软件自身安全,更好地保护用户计算机的安全。
! i; z9 b( L5 S0 [
5、“网页安全专家”可以检测到用户计算机上是否感染了恶意网页,如检测发现恶意网页,用户可以按照提示自动上报给国家计算机病毒应急中心进行处理。网页安全专家下载地址:
http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm
' Z; K4 ^$ e0 o- { 6、江民杀毒软件可以在系统崩溃无法进入的情况下,一键恢复系统,无论是恶性病毒破坏或电脑用户误删除系统文件,都可轻松还原系统到无毒状态或正常状态。
3 T2 Z- R2 c& F. q! {+ C s% w. `5 j 7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能,更可对未知病毒进行主动监控,对病毒层层拦截,即使有个别新病毒和恶性病毒入侵了系统,也无法逃脱江民杀毒软件主动防御系统的层层截杀,更好地保护用户上网安全。
Q% W# v. T4 N) ?+ W7 l 8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:
http://online.jiangmin.com/chadu.asp.
9 ]/ r( H3 P1 J; a2 D 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站
http://www.jiangmin.com进行在线查阅。
