-
-
方正熊猫病毒入侵周报
-
发表于: 2013-7-16 22:00 805
-
ShotOne,Yabarasu特洛伊木马, Rinbot蠕虫家族以及 Expiro.A病毒都是本周熊猫实验室报告的主要关注点。
ShotOne 木马程序能够在被感染的计算机上引发一系列问题。通过对Windows注册信息进行更改,它能够阻止Windows更新并封锁打开Internet Explorer 以及Windows Explorer的文件列表。同时,该木马程序还能够隐藏 “我的文件” 和“我的电脑”文件夹里的内容。
该木马能够引起的其它不良影响还包括破坏工具栏右键菜单和开始键功能,隐藏通知状态栏,阻止开始菜单下的“运行”和“搜索”选项的进入。
一旦计算机系统被启动这种特洛伊木马即会在机器上开始运行。当其运行后,就会罗列出很多的屏幕窗口导致机器无法正常使用。而且,这种木马还会致使被其感染的计算机每三个小时重起一次。
方正熊猫实验室针对这一恶意软件的影响已经制作了一个视频总结资料。请从下列站点获得: http://www.pandasoftware.com/img/enc/ShotOne.wmv
本周周报关注的第二种木马就是Yabarasu, 这种木马在每次系统启动时即可运行,并展现下列对话框。
Yabarasu 木马在被其感染的系统上进行自我复制。为了欺骗用户,它能够把所有的file extensions 以及工具条隐藏(当你把光标移至文件上时出现的信息条. Yabarasu木马还能够对C盘下文件夹进行隐藏,并以原文件夹名字和图标进行木马自我复制。当用户运行这些文件时,他们实际上就是运行了该木马程序。
ShotOne和 Yabarasu 木马都是通过电子邮件,文件下载,被感染储存设备等进入计算机内部。
在本周,方正熊猫实验室还检测出很多的Rinbot 蠕虫家族变体: Rinbot.B, Rinbot.F, Rinbot.G 和 Rinbot.H.这些蠕虫通过在目标设备装置以及共享网络资源上自我复制进行传播。而且它们还把自己复制到同计算机联接的USB设备上(MP3播放器 , 存储盘,…)。
一些变体还利用某些漏洞加以传播。例如, Rinbot.B就是利用LSASS 和d RPC DCOM 漏洞。这些安全漏洞的补丁已经公布了一段时间。
Rinbot.G, 利用SQL 服务器假扮用户身份。一旦进入计算机,该蠕虫即会通过TFTP进行自我复制,然后再系统上进行运行。 Rinbot.H同样是利用漏洞加以传播。其专门寻找有MS01-032 漏洞并且被微软公司用同样名称打补丁的服务器作为入侵目标。
Rinbot 蠕虫专门设计用于在计算机上打开一个端口同IRC服务器相连,从而帮助黑客对计算机进行远程控制。
该蠕虫还从因特网网上下载那些发送垃圾邮件自称发现被感染计算机的Spammer.ZV特洛伊木马。 而实际上这样的结果确实,它更改了计算机的安全设置以及同Internet Explorer之间的网络协议,从而大大的降低了计算机的安全等级。
Rinbot.B 蠕虫一个比较有趣的地方就在于它内含一个副本,副本是一个有关该蠕虫家族产生的CNN采访。细节请见here.
“这是新型恶意软件发展的最显著特征之一。恶意软件的制造者通过同时发布大量的恶意软件变体来增加计算机被感染的机率。这种方式同时也降低了大众对新的威胁的警惕,从而少了提防。“Luis Corrons说道.
Expiro.A是本周周报的最后要提及的一个病毒。该病毒主要感染的恶对象是Program Files文件夹及子文件夹中的可执行文件。而且,它的病毒副本还会感染地址簿。
当用户打开被病毒感染的文件时,病毒会和真正的文件同时运行。这一点主要是为了迷惑用户,使用户不会看到任何被感染的迹象。
如果一旦察觉出自己被任何安全解决方案扫描到,Expiro.A 能够马上中止自己的进程。该恶意代码的各个部分都被加密,因此很难被检测到。
所有想要知道自己的电脑是否已经被这些或者别的恶意软件攻击的用户均可使用ActiveScan, 该免费安全解决方案可从以下站点获得: http://www.pandasoftware.com/activescan.
他们还可以使用NanoScan beta (www.nanoscan.com), 一种能够在一分钟内检测恶意软件的在线扫描工具。
ShotOne 木马程序能够在被感染的计算机上引发一系列问题。通过对Windows注册信息进行更改,它能够阻止Windows更新并封锁打开Internet Explorer 以及Windows Explorer的文件列表。同时,该木马程序还能够隐藏 “我的文件” 和“我的电脑”文件夹里的内容。
该木马能够引起的其它不良影响还包括破坏工具栏右键菜单和开始键功能,隐藏通知状态栏,阻止开始菜单下的“运行”和“搜索”选项的进入。
一旦计算机系统被启动这种特洛伊木马即会在机器上开始运行。当其运行后,就会罗列出很多的屏幕窗口导致机器无法正常使用。而且,这种木马还会致使被其感染的计算机每三个小时重起一次。
方正熊猫实验室针对这一恶意软件的影响已经制作了一个视频总结资料。请从下列站点获得: http://www.pandasoftware.com/img/enc/ShotOne.wmv
本周周报关注的第二种木马就是Yabarasu, 这种木马在每次系统启动时即可运行,并展现下列对话框。
Yabarasu 木马在被其感染的系统上进行自我复制。为了欺骗用户,它能够把所有的file extensions 以及工具条隐藏(当你把光标移至文件上时出现的信息条. Yabarasu木马还能够对C盘下文件夹进行隐藏,并以原文件夹名字和图标进行木马自我复制。当用户运行这些文件时,他们实际上就是运行了该木马程序。
ShotOne和 Yabarasu 木马都是通过电子邮件,文件下载,被感染储存设备等进入计算机内部。
在本周,方正熊猫实验室还检测出很多的Rinbot 蠕虫家族变体: Rinbot.B, Rinbot.F, Rinbot.G 和 Rinbot.H.这些蠕虫通过在目标设备装置以及共享网络资源上自我复制进行传播。而且它们还把自己复制到同计算机联接的USB设备上(MP3播放器 , 存储盘,…)。
一些变体还利用某些漏洞加以传播。例如, Rinbot.B就是利用LSASS 和d RPC DCOM 漏洞。这些安全漏洞的补丁已经公布了一段时间。
Rinbot.G, 利用SQL 服务器假扮用户身份。一旦进入计算机,该蠕虫即会通过TFTP进行自我复制,然后再系统上进行运行。 Rinbot.H同样是利用漏洞加以传播。其专门寻找有MS01-032 漏洞并且被微软公司用同样名称打补丁的服务器作为入侵目标。
Rinbot 蠕虫专门设计用于在计算机上打开一个端口同IRC服务器相连,从而帮助黑客对计算机进行远程控制。
该蠕虫还从因特网网上下载那些发送垃圾邮件自称发现被感染计算机的Spammer.ZV特洛伊木马。 而实际上这样的结果确实,它更改了计算机的安全设置以及同Internet Explorer之间的网络协议,从而大大的降低了计算机的安全等级。
Rinbot.B 蠕虫一个比较有趣的地方就在于它内含一个副本,副本是一个有关该蠕虫家族产生的CNN采访。细节请见here.
“这是新型恶意软件发展的最显著特征之一。恶意软件的制造者通过同时发布大量的恶意软件变体来增加计算机被感染的机率。这种方式同时也降低了大众对新的威胁的警惕,从而少了提防。“Luis Corrons说道.
Expiro.A是本周周报的最后要提及的一个病毒。该病毒主要感染的恶对象是Program Files文件夹及子文件夹中的可执行文件。而且,它的病毒副本还会感染地址簿。
当用户打开被病毒感染的文件时,病毒会和真正的文件同时运行。这一点主要是为了迷惑用户,使用户不会看到任何被感染的迹象。
如果一旦察觉出自己被任何安全解决方案扫描到,Expiro.A 能够马上中止自己的进程。该恶意代码的各个部分都被加密,因此很难被检测到。
所有想要知道自己的电脑是否已经被这些或者别的恶意软件攻击的用户均可使用ActiveScan, 该免费安全解决方案可从以下站点获得: http://www.pandasoftware.com/activescan.
他们还可以使用NanoScan beta (www.nanoscan.com), 一种能够在一分钟内检测恶意软件的在线扫描工具。
赞赏
看原图
赞赏
雪币:
留言: