木马变身“安全卫士” 巧妙伪装危害大等

近期安全综述

据瑞星“云安全”系统统计,5月份上半月瑞星共截获了218万个挂马网址。瑞星反病毒专家介绍,近期瑞星公司截获了近期一个名为“安全卫士木马”的病毒十分危险,该病毒将自身伪装成一款安全辅助工具的图标,诱骗用户点击,将自身作为“系统输入法”安装在电脑中,不断下载最新盗号木马,疯狂窃取网民账号密码。

近期关注病毒分析

“安全卫士木马(Trojan.Win32.FakeIME.j)”警惕程度

病毒使用VC++编写,使用“360安全卫士漏洞检测”的图标来伪装自己,会首先检查%SystemRoot%\System32\ipconfig.exe,如果不存在此文件,则病毒主程序退出,不执行病毒破坏代码。因Win9x之前的系统没有此文件,故此病毒在Win9x下不进行破坏。加载释放的HuItAi.ime,使其执行HuItAi.ime中的病毒代码。判定ime文件注入的进程名,如果发现注入进程为360sd.exe、safeboxtray.exe、avp.exe、kwstray.exe,则使用ExitProcess退出。调用cmd /c sc delete 360rp、cmd /c sc delete ekrn删除杀毒软件相关服务。使用ImmInstallIMEA将其作为输入法文件安装在系统中。输入法名为cn(ext),随后使用ActivateKeyboardLayout激活此输入法,最终下载黑客服务器上的木马病毒。

近期关注的被挂马网站

“德云相声网”、“中国摄影网”、“中国培训网”等网站的部分页面被黑客挂马,黑客利用微软最新漏洞和服务器不安全设置进行入侵。用户访问这些页面后,可能会感染木马下载器、盗号木马和黑客后门。

防范方法

1.使用“瑞星全功能安全软件2010”,有效阻挡通过网页挂马方式传播的病毒;2.安装卡卡上网安全助手6.2自动修复漏洞;3.同时可拨打客服热线400-660-8866咨询,访问客户服务中心网站(.cn)寻求帮助,使用在线专家门诊获得即时支持。

病毒

茶几

小提示

Autorun.inf这个文件是很早就存在,本身是正常的文件和技术,在WinXP以前的其他Windows系统(如Win98,2000等),需要让光盘、U盘插入到机器自动运行的话,就要靠Autorun.inf。前期Autorun类病毒靠双击动作激活运行,后来技术更新,通过资源管理器查看都会感染Autorun病毒。

不是病毒的病毒――Autorun文件

听见Autorun病毒,你肯定不陌生了,众多“杯具”是由它产生的,尤其是U盘上。我们常见到的是一个Autorun.inf和一个EXE文件(见图),朋友时常问,这个病毒流传这么多年了,怎么还有?杀毒软件还不能根除吗?

这个疑问源自一个误解,我们常说的“Autorun病毒”不是一个病毒,是一类病毒的统称。Autorun准确的说法是一种传播类型。病毒需要实现感染目的,需要把自己复制都其他地方,传播给其他电脑。途径有这么几个:网站植入、软件捆绑、移动设备复制。移动设备传播怎么实现呢?病毒制作者发现,光盘和U盘插入电脑时会自动播放,因为里面有个Autorun.inf文件,其代码见下文。它的作用呢就是告诉系统:“你要自动启动我制定的这个EXE文件”,也可以告诉系统将它的盘符图标改成某个路径下的icon。你看,它能自动运行,如果让它指定自动运行病毒文件,一个可传播的病毒不就诞生了吗?有这个想法的人就是Autorun病毒的开发鼻祖。

[AutoRun]

open=***.exe

shellexecute=***.exe

shell\Auto\command=***.exe

shell=Auto

病毒开发者对这个文件略加修改,EXE文件换成恶意程序,只要使用者双击移动磁盘病毒就运行了,对系统进行修改,并隐藏自己,将病毒源文件复制到电脑各个分区,并不断扫描,发现没有就复制,达到传播的目的。所以感染此类病毒后,插入U盘,U盘就被感染了,感染后的U盘再插入新的电脑,就又感染一台机器,成为可怕的病毒。

Autorun是一种技术,一种病毒传播手段,Autorun.inf类似一个接口,它可以挂接任何病毒,熊猫烧香、AV终结者都有利用这个传播手段。Autorun也越来越狡猾,有病毒利用它自动发送数据到服务器,还有病毒全部整合到Autorun.inf中,所以我们看到Autorun.inf文件就不要以为这个病毒又来了,或许它是一个新家伙。