网站首页
维修网点
QQ专家在线
电脑保修
工具软件
在线查毒
电脑问题搜索
官方论坛
站点地图
友情链接
XML
RSS 2.0
联盟点:
北京
上海
深圳
广州
南京
杭州
成都
西安
厦门
武汉
重庆
天津
更多城市
加入收藏夹
设为主页
认识电脑
电脑优化
电脑保养
故障症状
学习维修
维修资料
病毒门诊
数据恢复
使用技巧
电脑常识
笔记本
安全技术
系统漏洞
专题导读:
操作系统
Windows Vista系统故障
Windows Xp系统故障
Windows 2003系统故障
Windows 2000系统故障
Windows 98系统故障
软件使用
网络配置
网络攻击
病毒
木马
主板
CPU
内存
硬盘
键盘
显卡
声卡
鼠标
显示器
音箱
刻录机
光驱、光盘
电源、UPS
网络设备
扫描仪
打印机
其它硬件
服务器
游戏平台
手机/MP3
相机/摄像头
USB
无线应用教程
软件漏洞
硬件漏洞
您的位置:
网站首页
>>
病毒门诊
>>
利用FLASH漏洞传播的对抗型“特务病毒”出现
利用FLASH漏洞传播的对抗型“特务病毒”出现
发布日期: 2008-6-16 10:57:29 查看数:
转载PcHiHI
从上周开始,利用 FLASH漏洞进行传播的木马下载器逐渐流行,与此同时,毒霸客服部门接到多起用户反映,称其安装的毒霸出现无法升级、毒霸图标变灰、查杀功能失效等症状,造成毒霸处于瘫痪状态,并且一些安装有网游的用户,发现自己的帐号丢失。
根据用户所反映的种种情况,反病毒工程师们判断又有针对毒霸的对抗型病毒诞生,并且它正是在FLASH漏洞下载器的帮助下大肆传播。可是当工程师们按照常规的处理方式进行处理时,却在系统中找不到任何病毒文件!
整件事十分诡异,没有发现病毒文件,但是用户系统中的毒霸却无法启动,并且游戏帐号也丢失了。这是不符合常理的。在排除毒霸本身BUG后,工程师们加强搜索力度,终于在受害电脑上发现了蛛丝马迹,并利用一系列网络技术捕获到了病毒样本。
这是个新的对抗型病毒,并且病毒经过复杂的加密处理,试图阻止反病毒工作者的破解。在经过整整一天的分析后,工程师们终于摸清了这个病毒的作案手段。最终的分析报告令人吃惊。
这个病毒的主文件名为NTDUBECT.Exe,咋一看会让人想起3月份时流行过的机器狗,但它的作案原理却与机器狗完全不同,是一个全新的病毒。
当病毒的原始文件Orz.exe在FLASH漏洞下载器的帮助下进入电脑后,NTDUBECT.Exe就会被释放到当前磁盘分区的根目录。它首先会尝试修改系统时间为2000年,以检测当前系统中是否有装有卡巴斯基7.0版,若有,病毒便停止运行。
如果成功修改了系统时间,就表明用户系统中所安装的卡巴斯基是旧版本,而随着时间的修改,这些版本的卡巴自然也就会瘫痪。当这个步骤顺利完成,或者用户没有安装卡巴,病毒就会修改注册表、禁用系统安全中心和windows 防火墙、禁用系统还原等系统自身的安全模块。
接着,病毒利用自己的另一个文件antir.Exe和驱动文件antir.Sys,检测系统中是否有金山毒霸和瑞星的文件。如有,就查询金山毒霸和瑞星主要文件的相关键值,从而得到它们的安装路径,然后释放出与它们主要文件相同名称的文件,进行替换。
“过去发现的一些对抗型病毒,它们基本上是直接删除杀毒软件的文件,而这个病毒却采取的是替换文件。”如果直接删除杀软的文件,那么当用户发现系统异常时,就很容易认识到是中了病毒,迅速求助。而如果是替换杀软文件,则大部分用户会以为是杀软出了BUG,导致系统异常,“用户从尝试自行修复到修复失败,再到联系毒霸客服询问,需要花不少时间,这些时间足够病毒干完它想干的事。”
病毒小心翼翼的继续执行着病毒作者安排好的动作。为了保险起见,它再次检测是否存在卡巴斯基的进程,若存在,就调用函数静音,让电脑静音,等将系统年份修改为2000 年后,再打开声音。同时,它再次禁用系统安全中心、windows 防火墙、系统还原等功能。在这个环节的工作中,它会顺便检测电脑里是否安装了安全辅助软件360安全卫士。若有,就结束其进程。然后,病毒会再次检测系统中是否有金山毒霸和瑞星的文件。
“干掉国内占有市场最多的安全软件,很明显,这个病毒就是针对中国用户的。”
当确信解决掉用户系统中的以上杀毒软件和安全辅助软件,此毒就在系统临时目录%temp%\中释放出文件setup.Exe 并执行。这个文件是一个木马下载器,它会在后台悄悄连接病毒作者指定的远程地址,下载大量盗号木马运行。
当下载工作完成,病毒就会调用自己的配置信息,恢复原来的时间。并根据配置信息的不同,决定是否对系统中的EXE文件建立映像劫持。最后,无论运行是否成功,病毒都会执行自动删除指令,把自己的原始文件、主文件、驱动文件等删除,除了那个下载器模块外,电脑中不会留下它的一丝痕迹。
这个病毒之所以受到重视,并不在于它能够对抗杀毒软件。自从AV终结者之后,几乎所有的木马下载器都会想方设法对抗杀毒软件,这一点毫无新鲜性可言。毒霸反病毒工程师们所关心的是,病毒逃避查杀的方式有了突破,“这个病毒已经不仅仅是删除原始文件,而是彻底抹消自己的痕迹。”在过去,那些拥有自我删除功能的病毒只不过是删除原始文件,而无法删除后期释放出的文件,但这个新病毒做到了这点。这意味着,以后用户即便遭受了病毒的攻击,也无法追查凶手。
“作案期间迷惑用户,使得用户在系统异常时不会认为是中毒,作案结束后又完全销毁证据,这些都充分表明病毒的犯罪过程已经越来越隐蔽,就像一个特务。”
www.PcHiHi.com
上下页导航
上一页:
Flash特务(Orz病毒)分析报告
下一页:
如何预防ARP病毒以及做好个人电脑病毒防护
【打印】
字体
【大】
【中】
【小】
【关闭】
热点主题
彻底解决Trojan.PSW.QQPass病毒
Trojan-psw.win32.online Games.es 病毒清除办法
auto.exe和autorun.inf查杀方法
有争议的conime.exe
sxs.dll sxs.exe病毒专杀工具及sxs.exe病毒手动删除方法
清除pctools.dll 新萌科技(上海)有限公司-垃圾广告
copy.exe病毒 硬盘双击打不开了
清除Svchost.exe
手工删除update.exe病毒
lsass.exe病毒的查杀方法,附专杀工具
ARP病毒临时解决方法
八步轻松清除desktop.ini病毒
~my1.tmp清除的最佳方法(cnwin和pctools)
autorun.inf、servet.exe和ie777.exe木马的手工杀毒方法
1.exe 2.exe 3.exe 4.exe 5.exe 6.exe 7.exe 8.exe病毒
解决EXE文件打不开的问题(4种方法)
感染型病毒Trojan-Downloader.Win32.Delf.axl专杀修复工具
TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)
SVCHOST.EXE应用程序错误解决方法
威金蠕虫:所有的exe图标都变色变模糊
最新主题
如何映像劫持杀毒软件
关于病毒主动防御的新见解
木马容易盯上的注册表位置
彻底清除无法显示隐藏文件的病毒
Flash特务(Orz病毒)分析报告
如何预防ARP病毒以及做好个人电脑病毒防护
用最简单的方法摆脱病毒的纠缠
提升权限 把无法删除病毒扫地出门
Troj.6to4ex恶意软件的清除
Adobe flash漏洞,请尽快将Flash Player升级到9.0.124
不同情况下病毒查杀技巧
在系统里对U盘写保护防毒
win32.virut病毒的清除方法
当病毒囚禁了输入法
教你识别危险进程
完美解决双击无法打开C、D、E、F盘等Autorun病毒
MIDI机器狗
如何判断进程或软件是否安全
网络资源推荐
站务联系:XBell@163.com 在线QQ:573861490
备案序号:粤ICP备06093858号
版权所有 2006 电脑维修知识网 最佳分辨率 1024 X 768
Copyright © Http://www.PcHiHi.com/ All rights reserved.
