江民今日提醒您注意:在今天的病毒中Rootkit.Qandr.c“圈蛀”变种c和Trojan/PSW.LMir.gwk“传奇窃贼”变种gwk值得关注。
病毒名称:Rootkit.Qandr.c
中 文 名:“圈蛀”变种c
病毒长度:172032字节
病毒类型:木马
危害等级:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Rootkit.Qandr.c“圈蛀”变种c是“圈蛀”木马家族的最新成员之一, 采用汇编语言编写,并经过加壳保护处理。“圈蛀”变种c运行后,在被感染计算机系统的“%SystemRoot%\system32\drivers\” 目录下释放一个恶意的驱动程序文件“qandr.sys”。将“qandr.sys”注册为系统服务,实现木马开机自动运行。利用Rootkit技术,采 用“SSDT HOOK”技术挂接了系统中的“NtEnumerateKey”和“NtOpenKey”API函数,采用“FSD inline HOOK”技术挂接了系统文件过滤驱动中的“IRP_MJ_DIRECTORY_CONTROL”请求,隐藏自我,防止被查杀。“圈蛀”变种c可能是一个 驱动级的后门程序,会给被感染计算机用户带来潜在的危险,同时会带去不同程度的损失。另外,“圈蛀”变种c会在系统临时文件夹下创建一个批处理程序文件, 当恶意驱动程序文件“qandr.sys”安装完毕后调用这个批处理程序实现自我删除。
病毒名称:Trojan/PSW.LMir.gwk
中 文 名:“传奇窃贼”变种gwk
病毒长度:83249字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.LMir.gwk“传奇窃贼”变种gwk是“传奇窃贼”木马 家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“传奇窃贼”变种gwk运行后,自我插入到被感染计算机中的某些系统进程内加载运行,隐藏自 我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取《传奇世界》玩家的游戏账号、游戏密码、 仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使《传奇世界》游戏玩家的游戏账号、装 备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“传奇窃贼”变种gwk会强行删除系统中的HOSTS文件,防止用户把该木马的收信地址加入到具 有“域名映像劫持”功能的HOSTS文件中,以便正常接收到盗取的玩家账号等信息。
针对以上病毒,建议广大电脑用户:
1、请立即升级杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民防马墙在系统自动搜集分析带毒网页的基础上,通过黑白名单,阻止用户防问带有木马和恶意脚本的恶意网页并进行处理,有效保障用户上网安全。
4、江民杀毒软件的虚拟机脱壳技术,针对目前主流壳病毒进行虚拟脱壳处理,有效清除“壳病毒”。 |
