undll32.exe”調(diào)用“1.ime”中的導(dǎo)出函數(shù)“Runed”,并且根據(jù)當(dāng)前目標(biāo)程序來(lái)加載相應(yīng)的DLL文件。其釋放的DLL在運(yùn)行后會(huì)創(chuàng)建互斥體“Dnf10False3Answer1”,以此防止被重復(fù)感染。在“%ProgramFiles%Outlook Express”下創(chuàng)建ini配置文件“oemig60.exe”和“wad.exe”。其中,“omeig60.exe”中記錄了系統(tǒng)的物理地址等信息,“wad.exe”中存儲(chǔ)的是經(jīng)過(guò)加密的感染參數(shù)。在被感染計(jì)算機(jī)的后臺(tái)遍歷當(dāng)前系統(tǒng)中運(yùn)行的所有進(jìn)程,如果發(fā)現(xiàn)指定的安全軟件例如“TenSafe.exe”、“騰訊游戲木馬專殺.exe”、“SGTool.exe”、“DNFchina.exe”、“dnf.exe”存在,便會(huì)嘗試將其強(qiáng)行關(guān)閉,以此達(dá)到自我保護(hù)的目的。如果發(fā)現(xiàn)“360tray.exe”存在便會(huì)直接退出運(yùn)行。后臺(tái)運(yùn)行“%windir%system32
otepad.exe”,并且會(huì)將惡意代碼注入其中隱秘運(yùn)行,從而防止被輕易地查殺。創(chuàng)建隱藏窗口,秘密監(jiān)視用戶運(yùn)行的所有應(yīng)用程序的窗口標(biāo)題。一旦發(fā)現(xiàn)“QQlogin.exe”進(jìn)程啟動(dòng),便會(huì)利用遍歷窗口、鍵盤鉤子、屏幕截取等技術(shù)盜取用戶的鍵盤輸入,并且會(huì)將竊得的信息發(fā)送到駭客指定的站點(diǎn)或郵箱里(地址加密存放),從而給被感染系統(tǒng)用戶造成了不同程度的損失。“通犯”變種bzns在運(yùn)行完畢后會(huì)調(diào)用其它程序來(lái)將自身刪除,以此消除痕跡。

英文名稱:Trojan/Cossta.vl

中文名稱:“科斯塔”變種vl

病毒長(zhǎng)度:765952字節(jié)

病毒類型:木馬

危險(xiǎn)級(jí)別:★

影響平臺(tái):Win 9X/ME/NT/2000/XP/2003

MD5 校驗(yàn):bc461da5a69715b4c701015b5af4d165

特征描述:

Trojan/Cossta.vl“科斯塔”變種vl是“科斯塔”家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫。“科斯塔”變種vl運(yùn)行后,會(huì)自我復(fù)制到被感染系統(tǒng)的“%programfiles%AdobeFlash”文件夾下,重新命名為“svehcet.exe”。其會(huì)在被感染系統(tǒng)的后臺(tái)連接駭客指定的遠(yuǎn)程站點(diǎn)“taobao.l*wc.com”,讀取配置文件“startmenuname.txt”和“other.txt”,然后根據(jù)其中的設(shè)置在被感染計(jì)算機(jī)的“%USERPROFILE%Local SettingsTemp”文件夾下創(chuàng)建文件“other.ini”和“ver_1.ini”。下載指定惡意程序并自動(dòng)調(diào)用運(yùn)行。其所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等,會(huì)給用戶造成不同程度的侵害。另外,其會(huì)在開(kāi)始菜單“啟動(dòng)”文件夾下添加名為“毒霸金山”和“木馬免疫”的假冒快捷方式(指向自身副本“svehcet.exe”),以此實(shí)現(xiàn)開(kāi)機(jī)自動(dòng)運(yùn)行。

針對(duì)以上病毒,江民反病毒中心建議廣大電腦用戶:

1、請(qǐng)將江民殺毒軟件升級(jí)至最新版本,并且進(jìn)行全盤掃描。江民殺毒軟件KV2011的掃描加速技術(shù)令查殺更快捷。虛擬機(jī)脫殼以及動(dòng)靜態(tài)啟發(fā)掃描更可強(qiáng)力狙擊各種已知、未知病毒。

2、江民網(wǎng)絡(luò)版的用戶請(qǐng)及時(shí)升級(jí)控制中心和所有客戶端,并且進(jìn)行全網(wǎng)病毒查殺。

3、開(kāi)啟江民殺毒軟件的主動(dòng)防御功能。江民殺毒軟件KV2011采用先進(jìn)的“智能主動(dòng)防御2.0”系統(tǒng),對(duì)病毒的攔截更精準(zhǔn),避免干擾正常軟件的運(yùn)行。

4、開(kāi)啟江民殺毒軟件的網(wǎng)頁(yè)防馬墻功能。網(wǎng)頁(yè)木馬特征庫(kù)動(dòng)態(tài)更新,最新網(wǎng)馬迅速攔截。同時(shí)結(jié)合惡意、釣魚網(wǎng)址庫(kù),為您的網(wǎng)上沖浪建立起雙重防護(hù)。

5、開(kāi)啟江民殺毒軟件的“移動(dòng)存儲(chǔ)監(jiān)視”功能(僅KV2011具備)。江民殺毒軟件KV2011可阻止病毒通過(guò)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播,讓數(shù)據(jù)存儲(chǔ)更安全。

6、開(kāi)啟定時(shí)漏洞檢測(cè)功能,定期修復(fù)系統(tǒng)關(guān)鍵漏洞和常用第三方軟件漏洞,不給病毒以可乘之機(jī)。

7、開(kāi)啟江民黑客防火墻。江民殺毒軟件KV2011內(nèi)置全新的三層立體黑客防火墻,可對(duì)不同層面的網(wǎng)絡(luò)攻擊進(jìn)行防御,保衛(wèi)系統(tǒng)安全更全面。

8、對(duì)于在Windows下無(wú)法清除的頑固文件,可使用BootScan功能在系統(tǒng)登陸前進(jìn)行病毒查殺。

9、江民殺毒軟件擁有強(qiáng)大的自我保護(hù)功能,能夠有效避免病毒的肆意破壞,全天候?yàn)槟男畔踩o(hù)航。

10、江民殺毒軟件最新版下載地址http //filedown.jiangmin.com/KV2011/inst.exe(30天免費(fèi)試用,KV2010用戶無(wú)需卸載可直接覆蓋安裝)?;蛘呖梢允褂媒衩赓M(fèi)在線查毒系統(tǒng)進(jìn)行病毒檢測(cè):http //online.jiangmin.com/

有關(guān)更詳盡的病毒技術(shù)資料請(qǐng)直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢,或訪問(wèn)江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱。

分享到

liukai

相關(guān)推薦