病毒預警:“超級AV終結者”能力極強

“超級AV終結者”(Win32.TrojDownloader.NsPassT.bm.50688),這是一個對抗能力極強的下載器。它結合了AV終結者、機器狗、掃蕩波、autorun病毒的衆多特點,行爲及其惡劣。它主要是利用MS08067漏洞在局域網內傳播,對抗安全軟件,下載大量的木馬。由于帶有穿透功能,對網吧和局域網用戶影響很大。

“木馬控制器57344”(Win32.Troj.Ghosty.a.57344),這是一個遠程木馬。它會在用戶電腦中建立後門,爲黑客入侵提供幫助。

一、“超級AV終結者”(Win32.TrojDownloader.NsPassT.bm.50688)威脅級別:★★★

進入2008年的最後一個月,病毒作者的活動越發猖獗。昨日,金山毒霸反病毒工程師捕獲一款高危病毒下載器Win32.TrojDownloader.NsPassT.bm.50688。該下載器結合了AV終結者、機器狗、掃蕩波、autorun病毒的衆多特點,行爲及其惡劣。它主要是利用MS08067漏洞在局域網內傳播,對抗安全軟件,下載大量的木馬。由于帶有穿透功能,對網吧和局域網用戶影響很大。

此病毒非常狡猾,它在進入系統後,不會立即運行,而是查找系統中是否存在OllyICE.exe、OllyDbg.exe、ImportREC.exe、C32Asm.exe、LordPE.exe、PEditor.exe等反病毒工作人員經常使用的工具,如果存在,就會立刻關閉自己、退出運行。很明顯,它想刻意逃避反病毒工程師的分析。

而該毒的危害性主要體現在它強大的對抗能力。由于同時綜合了AV終結者、機器狗、掃蕩波的特點,從未有任何病毒的對抗能力像此毒一樣凶猛。它在進入系統後,首先會恢複系統SSDT表,一旦SSDT表被恢複,就意味著該毒可以穿透任何一款系統還原軟件的防線。

同時,它按照自帶的一份“黑名單”搜索安全軟件,只要發現用戶安裝得有安全軟件,就調將其關閉。毒霸反病毒工程師檢查它的“黑名單”後發現,這份名單非常龐大,幾乎所有網上能搜索到的安全軟件,都是該毒的關閉目標。

事情還沒完,如果僅僅是關閉,那麽用戶還可以重新啓動這些安全軟件。病毒作者當然不會允許這種事情發生,他給病毒設置了映像劫持功能,劫持這些安全軟件的進程。如果用戶試圖啓動它們,唯一的結果就是把病毒再激活一次而已。而爲阻止用戶向安全軟件廠商求助,病毒會屏蔽許多安全軟件的官網。

當解決了“礙事”的安全軟件,病毒才放心大膽的讀取用戶MAC地址,並解密自己的配置文件,獲取下載列表,下載大量的盜號木馬到用戶電腦中運行——這才是它的最終目的。該毒在成功占領一台電腦後,就開始對局域網內的其它電腦實施攻擊。它搜索局域網中所有存在MS08067漏洞的電腦,利用漏洞將自己發送到這些電腦上。同時,對所有的電腦展開ARP攻擊,劫持用戶所浏覽網頁上的鏈接,如果用戶點擊鏈接,就會被引導到病毒作者安排好的廣告網址,或者下載包括該毒在內的一些惡意程序。爲確保攻擊成功,該毒還會釋放出一個掃蕩波病毒,協助自己進行攻擊。

必須提及的是,該毒的ARP攻擊頻率達到令人驚訝的地步,在毒霸反病毒工程師的測試中,該毒對局域網的ARP攻擊竟然高達每分鍾1萬次以上,在三分鍾不到的時間裏,就能阻塞由數百台電腦組成的局域網。當攻擊達到最高峰時,電腦甚至連病毒作者自己指定的網址也無法訪問,這種現象可謂是瘋狂至極。

僅僅在局域網中傳播,病毒作者並不滿足。爲實現更大範圍的傳播,該毒在執行上述破壞過程時,還會遍曆驅動器,在非a:\和b:\的磁盤分區的根目錄下創建AUTO文件autorun.inf和system.dll。一旦用戶在中毒電腦上使用U盤等移動存儲設備,病毒就會自動將其傳染。當在U盤插入另一台電腦時,它又會將該電腦傳染,這樣就實現了自動傳播。

綜合目前對該毒的分析,以及實際的染毒測試來看,該毒無疑毒霸反病毒工程師今年目前爲止所發現最凶猛的病毒之一。

根據毒霸反病毒工程師的監測,目前該毒仍在進化中,病毒作者似乎對參考學習其它對抗型病毒的“功夫”很感興趣,幾乎每個變種都會加入新的對抗手段。病毒更新的頻率也比較高,每天都會有更新,這也就造成了傳統的查殺辦法難以應對該毒威脅。

毒霸已經可以查殺此病毒,升級病毒庫到最新版本並開啓實時監控就可以防禦,網吧和企業等局域網用戶需要下載ARP防火牆,以防止其他機器的攻擊。

如果您已安裝其它廠商的殺毒軟件,不便卸載。那麽,針對該毒的高危特性和頻繁更新,毒霸反病毒工程師推薦使用免費的金山系統急救箱對系統進行清理,然後用毒霸和金山清理專家徹底清除被該毒下載到電腦中的木馬,並修複系統受到的破壞。

“金山系統急救箱”下載地址http://bbs.duba.net/thread-21988813-1-1.html

金山ARP防火牆下載地址:http://buy.duba.net/download/index.shtml#fhq

關于該病毒的詳細分析報告,可在金山病毒大百科中查閱http://vi.duba.net/virus/win32-trojdownloader-nspasst-bm-50688-52647.html二、“木馬控制器57344”(Win32.Troj.Ghosty.a.57344)威脅級別:★

該毒行爲簡單,對系統不具備直接的破壞能力,但會開啓敏感端口,建立後門。黑客借助其幫助,可對用戶電腦執行任何想要的控制。

該毒在進入系統後,釋放出子文件avgupdt.exe和lsass.exe到%WINDOWS%\SYSTEM32\2054913864\目錄下,此目錄是隨機命名,反而容易被用戶發現。

當修改注冊表啓動項、實現開機自啓動後,病毒就會運行起來,連接病毒作者指定的黑客服務器,等待黑客指令。

關于該病毒的詳細分析報告,可在金山病毒大百科中查閱http://vi.duba.net/virus/win32-troj-ghosty-57344-52643.html

金山反病毒工程師建議

1.最好安裝專業的殺毒軟件進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由于玩網絡遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。

金山毒霸反病毒應急中心及時進行了病毒庫更新,升級毒霸到2008年12月3日的病毒庫即可查殺以上病毒;如未安裝金山毒霸,可以登錄http://www.duba.net免費下載最新版金山毒霸2008或使用金山毒霸在線殺毒來防止病毒入侵。撥打金山毒霸反病毒急救電話010—82331816,反病毒專家將爲您提供幫助。

“超級AV終結者”年末瘋狂侵襲用戶
  12月8日,金山毒霸全球反病毒監測中心發布周(12.8-12.14)病毒預警,進入2008年的最後一個月,病毒作者的活動越發猖獗。上周造成十萬戶以上用戶受害的“超級AV終結者”本周繼續作惡,網吧、學校成重災區,病毒頻...查看完整版>>“超級AV終結者”年末瘋狂侵襲用戶
 
病毒通報:AV終結者 啤酒木馬IRC波後門
一周電腦病毒通報   (2007.06.18-06.24)  “AV終結者”危害大“啤酒”變種播病毒  本周有兩個病毒特別值得注意,分別是“AV終結者”和“IRC波”變種ls(Backdoor/IRCBot.ls)病毒。  一、AV終結者警惕程度★★...查看完整版>>病毒通報:AV終結者 啤酒木馬IRC波後門
 
黑客借NBA明星傳播病毒“AV終結者”-病毒快報
  據瑞星“雲安全”系統監測, 6月29日,籃球網旗下的“科比中文網”、“韋德中文網”、“姚明中文網”等NBA著名球員的個人網站被黑客挂馬。球迷訪問這些網站後,會立即感染木馬病毒Trojan.Win32.Generic.11E996E5...查看完整版>>黑客借NBA明星傳播病毒“AV終結者”-病毒快報
 
中了AV終結者木馬
中了木馬AV終結者怎麽辦,不能下載,不能解壓,求救!AV終結者木馬清除和預防方法,詳細請看:http://www.fzpchome.com/Article/bdcc/200706/436.html 嘿嘿,又是一個AV愛好者...查看完整版>>中了AV終結者木馬
 
中國新雷達具強大預警探測和抗幹擾能力
  本報記者 譚潔 通訊員 王禮乾  等待了許久,記者終于有機會與“千裏眼”雷達進行“第一次親密接觸”。3月中旬的一天,記者隨空軍雷達學院學員一起體驗了新型雷達機動和作戰預警的過程。  這天上午8時,空...查看完整版>>中國新雷達具強大預警探測和抗幹擾能力
 
病毒預警:近期警剔Hotmail蠕蟲病毒
  國家計算機病毒應急處理中心26日預報,3月27日至4月2日一周內將要定期發作的計算機病毒都沒有大的影響,但要注意近期出現的首個針對Hotmail編寫的蠕蟲病毒的危害。  國家計算機病毒應急處理中心提醒計算機用戶...查看完整版>>病毒預警:近期警剔Hotmail蠕蟲病毒
 
04.18預警:通過Winny或WinMX軟件傳播的病毒
    北京信息安全測評中心、金山毒霸聯合發布2006年4月18日熱門病毒。  今日提醒用戶特別注意以下病毒:“Antinny蠕蟲變種”(Worm.Antinny.am) 和“棋海”(Troj.Qihai.i)。  “Antinny蠕蟲變種”(Worm....查看完整版>>04.18預警:通過Winny或WinMX軟件傳播的病毒
 
20日病毒預警:竊取多種網遊的木馬病毒
  據瑞星全球反病毒監測網介紹,今日有兩個病毒特別值得注意,它們是:“密西木馬變種H(Trojan.PSW.Misc.h)”和“赫斯蠕蟲(Worm.Hesi.a)”病毒。“密西木馬變種H”是盜號木馬,可盜取多種網絡遊戲的帳號和密碼,給遊...查看完整版>>20日病毒預警:竊取多種網遊的木馬病毒
 
金山5日病毒預警:危害更大的兩種蠕蟲
  今日提醒用戶特別注意以下病毒:“Aobs”(Worm.Aobs.bi)和“Beagle變種ff”(Worm.Beagle.ff)。  “Aobs”(Worm.Aobs.bi)蠕蟲病毒,通過文件共享和軟盤傳播,禁止用戶使用任務管理器和注冊表編輯器,直接降低系統...查看完整版>>金山5日病毒預警:危害更大的兩種蠕蟲
 
 
回到王朝網路移動版首頁