动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报:
疯狂下载者dyq”(Trojan/Win32.Small.dyq[Dropper]) 威胁级别:★★
该恶意代码为下载者***,病毒运行后动态加载sfc_os.dll系统库文件,并调用该库文件序号为#5的函数,去掉对appmgmts.dll系统文件的保护,动态加载Advapi32.dll系统库文件,并调用该库文件的RegCloseKey、OpenSCManagerA函数,开启AppMgmt服务,遍历%System32%目录下的appmgmts.dll,创建病毒文件替换系统的appmgmts.dll文件,并将病毒DLL文件时间设置为该系统DLL文件的创建时间,释放驱动文件到临时目录下,等待启动之后将删除驱动文件,该驱动文件主要行为恢复SSDT过主动防御,调用StartServiceA函数启动AppMgmt服务,以系统服务启动病毒DLL文件,创建BAT批处理文件用于删除病毒自身,结束安全软件进程,将病毒DLL注入到svchost.exe进程中,开启IE连接网络下载病毒文件。
“魔兽窃贼”(Trojan/Win32.Small.dyq[Dropper])威胁级别:★★
该恶意代码为下载者***,病毒运行后动态加载sfc_os.dll系统库文件,并调用该库文件序号为#5的函数,去掉对appmgmts.dll系统文件的保护,动态加载Advapi32.dll系统库文件,并调用该库文件的RegCloseKey、OpenSCManagerA函数,开启AppMgmt服务,遍历%System32%目录下的appmgmts.dll,创建病毒文件替换系统的appmgmts.dll文件,并将病毒DLL文件时间设置为该系统DLL文件的创建时间,释放驱动文件到临时目录下,等待启动之后将删除驱动文件,该驱动文件主要行为是恢复SSDT过主动防御,调用StartServiceA函数启动AppMgmt服务,以系统服务启动病毒DLL文件,创建BAT批处理文件用于删除病毒自身,结束安全软件进程,将病毒DLL注入到svchost.exe进程中,开启IE连接网络下载病毒文件。
“盗号***”(Trojan/Win32.Magania.biht[OnLineGames]) 威胁级别:★★
该恶意代码文件为游戏盗号***,病毒运行后先删除自身文件再衍生相同文件名的病毒到Windows字体目录下,防止多个病毒文件产生的冲突,调用病毒自定义的函数“JUFndB4pARSJ”模块来提升进程权限,添加注册表病毒的CLSID值、HOOK启动项,删除System32%目录下的verclsid.exe文件,病毒运行完毕后使用CMD命令删除自身文件,查找含有:图片和传真、记事本、internet explorer、acdsee的标题窗口找到后并截图将图片保存到临时目录下,将病毒DLL注入到除系统进程外的所有进程中、安装消息钩子截取用户账号信息,获取用户账户信息后通过URL方式将截取账户信息及截取到得图片发送到作者指定的地址中。
动物家园计算机安全咨询中心反病毒工程师建议:
1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
2、别轻易打开陌生人邮件及邮件附件、连接等。
3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询

转载于:https://blog.51cto.com/kingzoo/220760

病毒周报(091102至091108)相关推荐

  1. 病毒周报(071029至071104)

    动物家园计算机安全咨询中心([url]www.kingzoo.com[/url])反病毒斗士报牵手广州市计算机信息网络安全协会([url]www.cinsa.cn[/url])发布: 本周重点关注病毒 ...

  2. 病毒周报(100308至100314)

    动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报: "捆绑***"(Trojan/Win32.Agent.ahwr[Dropper]) 威胁级别:★★ 该病 ...

  3. 病毒周报(100719至100725)

    动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报: "下载者***"(Trojan/Win32.Agent.cjub[Dropper]) 威胁级别:★★ 该 ...

  4. 病毒周报(081110至081116)

    动物家园计算机安全咨询中心([url]www.kingzoo.com[/url])反病毒斗士报牵手广州市计算机信息网络安全协会([url]www.cinsa.cn[/url])发布: 本周重点关注病毒 ...

  5. 病毒周报(100111至100117)

    动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报: "修改者"(Trojan/Win32.StartPage.cjh[Clicker]) 威胁级别:★★ 该 ...

  6. 病毒周报(100301至100307)

    动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报: "控制者"(Backdoor/Win32.Bifrose.cgpv) 威胁级别:★★ 该病毒为客户端,根 ...

  7. 病毒周报(080901至080907)

    动物家园计算机安全咨询中心([url]www.kingzoo.com[/url])反病毒斗士报牵手广州市计算机信息网络安全协会([url]www.cinsa.cn[/url])发布: 本周重点关注病毒 ...

  8. 病毒周报(100118至100124)

    动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报: "广告***"(Trojan/VBS.StartPage.dv[Clicker]) 威胁级别:★★ 恶意 ...

  9. 病毒周报(100125至100131)

    动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报: "控制者"(Trojan/Win32.KillAV.bkx[Dropper]) 威胁级别:★★ 该恶意代 ...

最新文章

  1. 【分享】博客美化(6)为你的博文自动添加目录【转】
  2. 关于XML文档操作类
  3. python实现函数ifodd_09-Python笔记整理(函数)
  4. java编译命令 Linux,通过命令行在linux中编译Java类
  5. ios 捕抓crash_ios crash的原因与抓取crash日志的方法
  6. wordpress插件_8个虚拟教室的必备WordPress插件
  7. react Link跳转无效_react常见的问题及解决办法
  8. noi 9271 奶牛散步
  9. Anaconda的安装与基本使用
  10. 快回家了,感觉什么事情都不想做,除了吃饭睡觉
  11. 6.ring3-ImportREC重建输入表
  12. R语言使用t.test函数执行t检验验证总体均值是否是某个特定的值(从样本集推论总体均值)
  13. acfun怎么下载视频
  14. matlab运行很多columns,columns函数的使用方法
  15. js-通过audioContext实现3D音效
  16. 英超前瞻乐.fun|体育 中秋利物浦主场对战狼队 历史交战能否延续全胜
  17. dubbo 中文官网
  18. 适合新手的MySQL的基本操作第三期——存储过程篇
  19. Lecture5-3Effective number of hypotheses
  20. 关于通信方面的总结(通信协议、通信端口)

热门文章

  1. docker部署elasticsearch-+-Kibana(6-8)-+-SpringBoot-2-1-6
  2. js字符串的字典序_JavaScript通过字典进行字符串翻译转换的方法
  3. c语言 简单编程题,c语言简单编程练习题.doc
  4. RabbitMQ(九):RabbitMQ 延迟队列,消息延迟推送(Spring boot 版)
  5. int 和integer的区别
  6. python中函数的作用域_Python中的函数作用域
  7. 3d slicer调整窗宽窗位_3D人脸模型月销量上千单,谁在打印,谁在帮打?
  8. linux ftp 团队认证,linux下ftp和ftps以及ftp基于mysql虚拟用户认证服务器的搭建
  9. matlab函数isempty_matlab基本函数inf, isempty, round, floor, fix
  10. linux下启动tlq命令,UNIX/LINUX命令