! H* K, p( Y2 Z. O
/ Z& q/ J2 j; Y% D# H7 t软件名称:音响技师 2 y1 `& g3 O3 n' }1 O
软件类别:专杀工具 / L# k3 _) s& C( f& |
软件版本: * K4 N( k) R2 ~ a' F$ a$ k" Q
软件大小:824KB 0 K* W# D% k. `
应用平台:Win2003/WinXP/Win2000/NT/
" P; B* u, E8 i% J更新时间:2008-09-04 16:25:16
5 t3 D' \, G7 w6 s7 N授权方式:免费软件 ) Z' w* Q: @5 V1 j9 l! P
6 J+ y6 b; M7 [6 v
1 A1 H' n* z9 `; h软件说明& F( ?: u2 o; `5 _! Y( t5 L5 U
4 x [. w+ f1 v9 I; Y
$ E1 t) E$ C5 Z& K! b# F
' D- d: b5 P) q+ Q3 w% ~. w. u! G1 e3 @/ x% F5 V8 W' a
病毒评估
0 S! _# b; E( t. P( D; ]5 @
6 m' D0 ~8 q2 e9 {$ [6 X; n+ b0 n" S% L x4 y
病毒名称: 音响技师木马下载者
6 g! A6 A, _, F" J) c病毒名称英文:Win32.Troj.Downloader.vb.39949 % S( {! T- R6 v7 r3 p
病毒类型:蠕虫型木马下载者 1 [8 |$ B$ S$ ^) Q5 h
危险级别:★★★★ # n( U* J" g# T: m9 g
传播方式:通过网站挂马传播 6 f/ ?5 W) P, v! L9 Z/ ^, Q
受影响的系统:Windows 2000, Windows XP, Windows Server 2003,VISTA
7 W# \ w- N7 N未受影响的系统:Windows 3.x, Macintosh, Unix, Linux 9 m6 K, _, Y. S; H9 e6 r! i
病毒危害:
3 {& L' t2 z1 C4 b F# N3 n l2 f, A7 g+ J
9 f1 x1 `- u$ \7 d该病毒关闭并劫持主流杀毒软件。并在系统文件夹释放病毒的衍生文件。病毒甚至劫持输入法程序。下载木马,并扫描同一局域网内的其他主机。同时,病毒建立后门,供黑客连接。; ?* n/ T0 }6 {" t( Z- ?& F3 i
传播形式:
8 |! N% t+ S; O3 Z
) \, E4 n5 I/ c2 [8 {3 k- W
1 X* E1 ~5 t* Q1.病毒首先在%system%以及%systemroot%目录释放病毒体。
- g* e' M/ f# U5 V" {; X2.修改注册表,将C:\WINDOWS\system32\ctfmon.exe设置成开机自启动。5 e3 I% h- _: ?3 g6 D
3.修改注册表,用SoundMan.exe(病毒文件)劫持刚刚被设置成开机自启动的C:\WINDOWS\system32\ctfmon.exe。因为ctfmon.exe是系统正常文件,所以设置成开机自启动不会引起怀疑,继而再通过映像劫持技术暗中启动病毒文件。很具有迷惑性。. o$ N P* L2 [3 D& A: v* _2 @
4.暗中添加后门帐号new1,密码:12369,并激活并提权至Administrators级别。
; b0 B0 f( t1 o( |& J; B% t5.关闭部分杀毒软件,并劫持。0 F8 y8 M' \( G8 q2 E. z1 p
6.下载 至本地,此文件实为病毒文件。
2 b; q# I! L( C \; G1 y7.顺带下载一款在线杂志软件,杂志软件无毒。
; \% \0 m+ @. |! X* v9 I. g8.扫描网段内其他主机,并尝试攻击。3 U/ B/ W; P) x1 O4 |9 M
预防和处理办法:
5 j1 M; w6 ^0 \6 m
) Z4 p4 Q; ]; O2 ?; @9 ~' t& c) m4 w
1.不运行来历不明的软件; & Z& X- N7 S$ U! t2 Y
2.使用专业的杀毒软件,并保持实时更新病毒库。 ; w8 L' T6 w3 |& P
|
发表于 2008-9-9 13:44
|