天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

警惕关闭系统自带防火墙的木马

2008-9-1051CTO佚名

    一、周末高危病毒简介及中毒现象描述:

    ◆“QQ盗号木马200704”:在用户电脑系统中运行起来后,会随时监视是否有QQ即时聊天工具的进程被启动,如果发现,就立即开始监视QQ客户端与服务器端之间的通讯,从中截获用户输入的帐号和密码,并将其发送到病毒作者指定的电子邮箱。另外,用户在玩QQ游戏时,也有被该毒盗号的风险。

    ◆“IE广告木马53248”:木马母体进入电脑后,在%Documents and Settings%AdministratorLocal SettingsTemp目录下释放出一个病毒文件Firewall.bat。这个.bat文件会关闭系统服务Application Layer Gateway Service和Windows Firewall/Internet Connection Sharing (ICS)。

    如果这两个服务被关闭,那么WINDOWS系统自带的防火墙也就无法运行了。接下来,木马会设置这两个服务为禁用,让用户无法进行修复。木马程序会常驻内存,它越过用户权限,调用IE浏览器的进程iexplorer.exe,弹出病毒作者指定的网页替它刷流量。如果该网页的流量增大,那么病毒作者就可以利用它来进行挂马,从而感染更多的电脑。

    ◆“伪装卫士43008”: 病毒的母体进入电脑后,搜索系统%WINDOWS%system32目录中是否有360tay.exe文件,如有就中止其进程,然后删除该文件。接着,将自己复制到该目录下,并命名为360tay.exe,完成“偷天换日”。

    随后,该毒将自身注册为系统服务,名为“360Tay”,DisplayName为“360安全防护软件”,伪装成360安全卫士。它一旦运行起来,首先会释放资源区文件,恢复系统的SSDT表,令用户安装的还原软件失效,接着便从病毒作者指定的地址下载大量其它木马文件,或上传用户的某些文件。

    除了下载木马,该毒还具有攻击其它电脑或网站的功能。它创建大量线程,向指定目标地址发送大量的垃圾数据,严重消耗网络带宽,让用户无法正常上网,十分烦人。

    ◆“QQ盗号木马38032”: 木马母体进入用户电脑后,在%Program Files%Common FilesMicrosoft SharedMSINFO目录下释放出xiaran.dll和xiaran.sys,将它们写入注册表启动项,实现开机自启动。当运行起来,就监视QQ客户端与服务器端的通讯,从中截获用户输入的帐号与密码。

    可能是由于病毒作者的粗心,他给病毒进程设置的进程名为“QQ2006 Hooke”,因此,比较容易发现。 除盗取QQ号外,该毒还具有下载器功能,它会从指定地址下载另一个木马文件,不过目前该地址已失效。

    二、针对以上病毒,建议广大用户:

    1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

    2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。

    3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。

 

本文来源:51CTO 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行