我爱电脑技术论坛 » 行业动态 » 今日上网谨防"圈蛀"和"传奇窃贼"木马病毒

小迷糊 发表于 2008-6-16 08:54

今日上网谨防"圈蛀"和"传奇窃贼"木马病毒

江民今日提醒您注意：在今天的病毒中Rootkit.Qandr.c“圈蛀”变种c和Trojan/PSW.LMir.gwk“传奇窃贼”变种gwk值得关注。 4Bc#d#~A'z/Ao3D)Kr

F2z x'^h,Z mvIU5_
病毒名称：Rootkit.Qandr.c
n2h\F(TM5o2U j6K~)_2fv
中 文 名：“圈蛀”变种c
,w9f9`
J O2O z7lO,]/b$@/v
病毒长度：172032字节 h^,j'vdXKav
!\*I7X;X2w0~m|(O
病毒类型：木马
Am3R
h-MU O-b (d&i Z1mX-E3NI.u
危害等级：★★
vA2S?"P6}6@ a Ej)u$K7t%EUf
YbK
影响平台：Win 9X/ME/NT/2000/XP/2003
(F0FM(d5s-yje
,J/T E3x-vj|aH Rootkit.Qandr.c“圈蛀”变种c是“圈蛀”木马家族的最新成员之一，采用汇编语言编写，并经过加壳保护处理。“圈蛀”变种c运行后，在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放一个恶意的驱动程序文件“qandr.sys”。将“qandr.sys”注册为系统服务，实现木马开机自动运行。利用Rootkit技术，采用“SSDT HOOK”技术挂接了系统中的“NtEnumerateKey”和“NtOpenKey”API函数，采用“FSD inline HOOK”技术挂接了系统文件过滤驱动中的“IRP_MJ_DIRECTORY_CONTROL”请求，隐藏自我，防止被查杀。“圈蛀”变种c可能是一个驱动级的后门程序，会给被感染计算机用户带来潜在的危险，同时会带去不同程度的损失。另外，“圈蛀”变种c会在系统临时文件夹下创建一个批处理程序文件，当恶意驱动程序文件“qandr.sys”安装完毕后调用这个批处理程序实现自我删除。
(})C/p$?*I$s7cHZ
-f!{X(xX
E:Bp 病毒名称：Trojan/PSW.LMir.gwk
(c J[-q.LGD.^8P QF3k'?2[_+Au!aPM
中 文 名：“传奇窃贼”变种gwk
QmQ%N;N*N'CKUx"N
(jy3in:hy W(vH.\)H 病毒长度：83249字节 v$~XaR5Y

;S{D%e_0iWw f1e 病毒类型：木马
QSH.c4T)@#{"x*} J E!C^r y1}#| Y
危险级别：★ )b^a5V:JZzR

6AI OlnO-B 影响平台：Win 9X/ME/NT/2000/XP/2003 ~AgD8w:jvX
|!H v8eL`I}
Trojan/PSW.LMir.gwk“传奇窃贼”变种gwk是“传奇窃贼”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“传奇窃贼”变种gwk运行后，自我插入到被感染计算机中的某些系统进程内加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取《传奇世界》玩家的游戏账号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《传奇世界》游戏玩家的游戏账号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“传奇窃贼”变种gwk会强行删除系统中的HOSTS文件，防止用户把该木马的收信地址加入到具有“域名映像劫持”功能的HOSTS文件中，以便正常接收到盗取的玩家账号等信息。
D@0f,E'\7m
SG:Adqo
e 针对以上病毒，建议广大电脑用户： $hA*mX$F+r7K

u)U2pln?0tq(c 1、请立即升级杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
)mb0cfw3`5Z^9V8b:j#F
't$MJ]^D T 2、请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。 ChR`2h5md9SemI

in{(}N} 3、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户防问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。
Fj']TL&] ~#mMA'x8`|
4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。

查看完整版本: 今日上网谨防"圈蛀"和"传奇窃贼"木马病毒