天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

“吞噬者”病毒卷土重来,AVG提醒您注意防范

2011-9-6天空软件佚名
p>        近期,特别是刚刚过去的8月,AVG中国实验室不断收到“Devourer”(吞噬者)病毒样本。此病毒并非首次发现,但是从最近收集到样本的情况来看,我们可以推断感染此种病毒的用户正在不断的增加。此种病毒最显著的一个特点就是会用未知的密码来将用户正常文件(如图片文件,word文档等)和病毒文件用winrar进行压缩打包,并且使用相对应的图标生成相应的可执行文件,并且隐藏文件的exe后缀,给传播带来了一定的便利。

        AVG 2011 永久免费中文版下载地址:http://www.skycn.com/soft/64171.html

        “吞噬者”的母体采用批处理进行编写,因为批处理的语言可读性很强,为了干扰对病毒文件的分析,“吞噬者”使用了环境变量对批处理文件本身进行加密,加密后的部分代码如下:

        解密后代码如下:

        通过对病毒文件的分析,我们可以获得被压缩文件的解密密码,此批样本中的解密密码是:“eostc”,使用此密码对恶意的压缩包进行解密,我们可以得到28个文件,其中只有一个是被打包的正常文件,其余的都是恶意的bat文件和病毒做伪装的图标文件。

        病毒一旦感染,会主动调用两个批处理文件: HIKARI.bat和AKARI.bat来搜索某些特定的关键字,以下是“HIKARI”所要搜索的部分关键字:

        另外一个批处理文件AKARA,需要搜索的部分关键字如下:

        如果HIKARI搜索到的关键字多于AKARI,病毒则会调用format.bat对用户数据进行格式化。

        除此以外,“吞噬者”还会修改系统文件,并且具有下载模块。是批处理病毒中比较复杂而且危害性比较大的一种。

        同时我们也发现另外一个非常有意思的现象:“吞噬者”的作者把针对此病毒的专杀工具(DevourerKiller)也存在于压缩包中,解压专杀工具需要另外一个密码:KCN200401。

        感染此病毒的用户可以使用此密码分离出专杀工具进行清理。

        防范此病毒,我们需要及时更新防病毒软件的特征库,并且提高警惕,对于可疑的文档或者图片要先使用防病毒软件扫描后再运行。目前AVG已经能对病毒的母体进行检测,暂时不确定用什么杀毒软件的朋友可以尝试一下!

        想要了解更多,可以登录www.avg.com

本文来源:天空软件 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行