首页 >> 学院 >> 病毒与安全 >> 病毒与安全病毒预警

警惕“潜行者”木马组团入侵电脑

2008-11-4 15:58:00　文/　出处：IT.com.cn(IT世界网)

　　超级巡警团队监测到恶意程序“Trojan-Downloader.Win32.agent.alce”（“潜行者”），该病毒是利用MS08-067漏洞下载并执行的木马程序，病毒的主要功能是盗取用户信息、密码。此外，“潜行者”还会偷偷的批量下载其他木马和病毒，一同协作攻陷系统安全防线。超级巡警建议用户及时更新微软补丁，并提醒广大用户及时更新病毒库，对该程序进行有效查杀。

一、病毒相关分析：
   病毒标签：
   病毒名称：Trojan-Downloader.Win32.agent.alce
   中文名：  潜行者
   病毒类型：木马
   危害级别：3
   感染平台：Windows
   病毒大小：397,312字节
   SHA1　：  A6C21166CD8D09D24FEFC10BBE896A231D14C564
   加壳类型：无壳
   开发工具：Microsoft C++

   病毒行为：
   1、病毒运行以后释放其他病毒文件。
   　%System%wbemsysmgr.dll
  　 %Temp% <随机名>.bat

   2、添加注册表服务相关键值，使病毒随windows启动时加载。
   　HKLMSYSTEMCurrentControlSetServicessysmgr
     HKLMSYSTEMCurrentControlSetServicessysmgrParametersServiceDll = "%System%wbemsysmgr.dll"
     HKLMSYSTEMCurrentControlSetServicessysmgrParametersServiceMain = "ServiceMainFunc"
     HKLMSYSTEMCurrentControlSetServicessysmgrDisplayName = "System Maintenance Service"
     HKLMSYSTEMCurrentControlSetServicessysmgrImagePath = "%SystemRoot%System32svchost.exe -k sysmgr"

   3、收集用户计算机信息、盗取用户密码、检查注册表HKLMSOFTWARE键是否有以下子键BitDefender、Jiangmin、KasperskyLab、Kingsoft、Symantec、rising、TrendMicro，来判断计算机是否安装反病毒软件，并将这些信息发送到IP：59.106.145.58。
  
   4、尝试链接IP地址：59.106.145.58，并下载后缀为.CAB的文件，保存到%System%initproc02x.cab下，cab文件解压之后产生4个病毒文件。
      winbase.dll
      winbaseInst.exe
      basesvc.dll
      syicon.dll
   5、链接网络，下载病毒。
      59.106.145.58/n1.exe
      59.106.145.58/n2.exe
      59.106.145.58/n3.exe
      59.106.145.58/n4.exe
      59.106.145.58/n5.exe
      59.106.145.58/n6.exe
      59.106.145.58/n7.exe
      59.106.145.58/n8.exe
      59.106.145.58/n9.exe

二、解决方案
     推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
     超级巡警下载地址：http://www.itxiazai.com/soft/2006/10/30/18739.html

     手工清除方法：
1、删除病毒生成的文件。
      %System%wbemsysmgr.dll
      %Temp%<随机名>.bat
      2、删除病毒添加的注册表项。
　　　　HKLMSYSTEMCurrentControlSetServicessysmgr
　　　　HKLMSYSTEMCurrentControlSetServicessysmgrParametersServiceDll = "%System%wbemsysmgr.dll"
　　　　HKLMSYSTEMCurrentControlSetServicessysmgrParametersServiceMain = "ServiceMainFunc"
　　　　HKLMSYSTEMCurrentControlSetServicessysmgrDisplayName = "System Maintenance Service"
　　　　HKLMSYSTEMCurrentControlSetServicessysmgrImagePath = "%SystemRoot%System32svchost.exe -k sysmgr"
三、安全建议
　 1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　 2、禁用不必要的服务。
   3、不要随便打开不明来历的电子邮件，尤其是邮件附件。
   4、不要随意下载不安全网站的文件并运行。
   5、下载和新拷贝的文件要首先进行查毒。
   6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
   7、使用移动存储介质进行数据访问时，先进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它：
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir%                WINDODWS系统目录
%ProgramFiles%                         应用程序默认安装目录
%AppData%                              应用程序数据目录
%CommonProgramFiles%                   公用文件目录
%HomePath%                             当前活动用户目录
%Temp% =%Tmp%                          当前活动用户临时目录
%DriveLetter%                          逻辑驱动器分区
%HomeDrive%                            当前用户系统所在分区

• 看本文的网友还看了：
  ·不怕中招别看!微软黑屏破解工具藏木马
  ·黑客利益冲突！电脑内上演“无间道”
  ·黄金周上网须“打好补丁、防挂马网站”
  ·“蝗虫军团”集体来袭 木马首现集群作战
  ·微软整治盗版却让GDI+漏洞恶化
  
• 热点关注：

  [相册]私房 a.Min	[相册]少女成熟时
  ·人体摄影　　·上传相册　·怎么上传

打印此页 投稿与建议 返回顶部