RSS订阅
服安最新信息资讯
- 安全专家详细讲解“磁碟机”病毒
- 磁碟机竟用光纤服务器升级 专家详
- 新一代的毒王 磁碟机全面解析
- 木马Trojan.Win32.Agent.ala分析与清除
- “超级AV终结者”解析与防范
- 技术解析木马下载器24576干扰原理
服安资讯热点推荐
- “萨博瑞斯蠕虫”病毒技术细节
- 了解“磁碟机”病毒会做什么
- 专家解读:AV终结者新变种详细分析
- “磁碟机”病毒分析报告
- 病毒是怎么命名的?
- 史上超强磁碟机病毒 中毒之后解决
- 热门病毒分析 杀软克星分析报告
- 蠕虫AutoRun病毒bt变种样本分析
- 磁碟机竟用光纤服务器升级 专家详
- 技术解析木马下载器24576干扰原理
- 教你如何根据名称识别计算机病毒
- Backdoor.Win32.VanBot.dd后门分析
- 浅析机器狗病毒穿透冰点的原理
- 安全专家详细讲解“磁碟机”病毒
- 实战木马病毒查找与清除
- “超级AV终结者”解析与防范
- 新一代的毒王 磁碟机全面解析
- 木马Trojan.Win32.Agent.ala分析与清除
服安资讯阅览排行
- 浅析机器狗病毒穿透冰点的原理
- 安全专家详细讲解“磁碟机”病毒
- 蠕虫AutoRun病毒bt变种样本分析
- 实战木马病毒查找与清除
- 新一代的毒王 磁碟机全面解析
- 磁碟机竟用光纤服务器升级 专家详
- 史上超强磁碟机病毒 中毒之后解决
- 病毒是怎么命名的?
- Backdoor.Win32.VanBot.dd后门分析
- “萨博瑞斯蠕虫”病毒技术细节
- 了解“磁碟机”病毒会做什么
- 热门病毒分析 杀软克星分析报告
- “磁碟机”病毒分析报告
- 教你如何根据名称识别计算机病毒
- 木马Trojan.Win32.Agent.ala分析与清除
- 专家解读:AV终结者新变种详细分析
信息安全法律法规
- 信息安全等级保护管理办法
- 广东省计算机信息系统安全保护条
- 中国国家信息安全等级保护制度开
- 欧盟网络和信息安全法律规制及其
- 互联网电子公告服务管理规定
- 互联网上网服务营业场所管理条例
- 浪潮服务器安全技术要求成为国家
- 计算机信息网络国际联网安全保护
服务器安全技术资讯
- 深入挖掘Oracle内部SQL注入
- 什么是MPLS中的FEC?
- 如何让域控DC的AD更加安全
- 实例:Linux中如何查看服务及监听端
- 服务器安全检查十大要素
- 什么叫0day?0day是什么?
- Windows 2003下如何提高FSO安全性
- 计算机网络安全的六大指标详述
服安解决方案
热门病毒分析 杀软克星分析报告
来源:TechTarget 时间:2007-09-28 作者:匿名 点击:次 责任编辑:Flyfox
TAG:
病毒分析
杀软克星
分析报告
服务器安全应急处理中心:让您的服务器更安全! 进入安全讨论社区
摘要:
杀软克星病毒运行后,会在各盘产生auto病毒。并在系统盘的多个目录下生成大量病毒文件,通过映像劫持的方法,使得各安全软件无法使用 ……
热门病毒分析 杀软克星分析报告
金山反病毒中心截获最新的杀软克星病毒,该病毒和AV终结者如出一辙,某些具体的功能方面比AV终结者有更胜一筹。和6、7月份高发的AV终结者不同之处在于,这个病毒没有破坏安全模式、禁止防火墙和关闭系统还原。
以下是该病毒的详细分析报告:
病毒全名 Worm.Downloader.cr.34304
病毒长度 34304
威胁级别 ★★
病毒类型 蠕虫
病毒简介 这是一个蠕虫病毒。该病毒运行后,会在各盘产生auto病毒。并在系统盘的多个目录下生成大量病毒文件。
而且病毒会通过映像劫持的方法,使得各安全软件无法使用。纂改文件隐藏功能。修改了浏览器主页,在打开浏览器时会自行下载病毒,并且弹出广告等行为。
关键字:蠕虫,auto病毒,映像劫持,修改主页,纂改功能
病毒行为:
1.病毒运行后,产生以下病毒文件
%local settings%\temporary Internet Files\Content.IE5\EC5UKR17\tj[1].htm
%local settings%\temporary Internet Files\Content.IE5\GR8I0NOH\down[1].txt
%local settings%\temporary Internet Files\Content.IE5\YF9D3U1Z\tempA[1].exe
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
在%windows%\Fonts下添加许多后缀为"fon"的文件
在%windows%\system32下添加许多后缀为"dll"和"exe"的病毒文件
在%temp%目录下同样产生病毒文件
2.在各盘目录下,会生成AUTO病毒,分别是niu.exe和autorun.inf。其中,autorun.inf所指向的病毒是niu.exe,当用户左键双击进入该盘时,病毒随之触发。
3.病毒运行后,任务管理器被屏蔽不可使用。
4.病毒运行后,隐藏文件的功能被纂改,并且把文字内容也修改。那句话的全部是“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽。”
5.病毒利用映像劫持的技术,使众多安全软件不可使用,只要以下有列出来的文件名,当病毒监测到时,就会自行关闭。看看,还有哪个病毒劫持的安全软件比它多。
6.病毒把主页修改为www.baidu.com
7.会监视窗口,当在浏览器输入与"安全"或"病毒"相关的网站,病毒会把浏览器立即关闭。
8.打开浏览器会弹广告。
9.病毒会从以下地址下载更多木马
http://w.******.com/tempA.exe
http://w.******.com/tempB.exe
http://w.******.com/tempC.exe
http://w.******.com/tempD.exe
http://w.******.com/tempE.exe
http://w.******.com/tempF.exe
http://w.******.com/tempG.exe
http://w.******.com/tempH.exe
http://w.******.com/tempI.exe
http://w.******.com/tempJ.exe
http://w.******.com/tempK.exe
http://w.******.com/tempL.exe
http://w.******.com/tempM.exe
http://w.******.com/tempN.exe
http://w.******.com/tempO.exe
http://w.******.com/tempP.exe
http://w.******.com/tempQ.exe
http://w.******.com/tempR.exe
http://w.******.com/tempS.exe
http://w.******.com/tempT.exe
http://w.******.com/tempU.exe
http://w.******.com/tempV.exe
http://w.******.com/tempW.exe
10.通过以下文本里的文件,对以下关键字进行监测,检测后尝试关闭相关网页。
http://w.******.com/guanjian.txt
但是这里作者却把两个杀软的名字弄错,(不知是不是故意放卡巴和江民一马)
------------------------
木马
病毒
360
瑞星
卡吧(错,应为"卡巴")
金山
毒霸
江名(错,,应为"江民")
------------------------
病毒还会利用www.******.com/pu/tj.asp,进行感染量统计。(这是不是病毒商业化运营的统计系统呢?很有可能是的。)
顶一下
(0)
0%
踩一下
(0)
0%
服务器安全资讯网(Fuancn.CN)登载此文仅为传递更多信息之目的,并不意味着赞同其观点或证实其描述。
上一篇:没有了 下一篇:“萨博瑞斯蠕虫”病毒技术细节
相关文章列表
- 安全专家详细讲解“磁碟机”病毒
- 磁碟机竟用光纤服务器升级 专家详
- 新一代的毒王 磁碟机全面解析
- 木马Trojan.Win32.Agent.ala分析与清除
- “超级AV终结者”解析与防范
- 技术解析木马下载器24576干扰原理
- 了解“磁碟机”病毒会做什么
- “磁碟机”病毒分析报告
- 史上超强磁碟机病毒 中毒之后解决
- 专家解读:AV终结者新变种详细分析
- 蠕虫AutoRun病毒bt变种样本分析
- 浅析机器狗病毒穿透冰点的原理
- 病毒是怎么命名的?
- Backdoor.Win32.VanBot.dd后门分析
- 教你如何根据名称识别计算机病毒
- 实战木马病毒查找与清除
- “萨博瑞斯蠕虫”病毒技术细节
- 热门病毒分析 杀软克星分析报告
相关图片列表
|
|
|
|
|
||
