瑞星专家提醒等

导航海盗木马绑架IE首页 网站流量变“赎金”

近期安全综述

据瑞星“云安全”系统统计,2010年4月上半月瑞星共截获了243万个挂马网址。瑞星反病毒专家介绍,近期瑞星公司截获了一个通过电脑底层驱动技术恶意篡改IE默认首页的病毒。病毒运行后,就像非法武装的海盗劫持人质一样,通过“绑架”系统驱动文件,使其具有直接修改IE首页的病毒功能,将首页绑架成恶意导航网站,且自身具有驱动级的自我保护功能,与杀毒软件进行对抗,从而提高恶意导航网站流量,获取经济利益。

近期关注的被挂马网站

“四川在线”、“中国摄影在线”、“手机中国”等网站的部分页面被黑客挂马,黑客利用微软最新漏洞和服务器不安全设置进行入侵。用户访问这些页面后,可能会感染木马下载器、盗号木马和黑客后门。

近期关注病毒分析

“导航海盗木马(Rootkit.Win32.Mnless.bpa)”

警惕程度

该病毒会替换正常的系统驱动文件netbios.sys,且有微软正常的版本信息,创建名为 \Device\pcidump 的设备对象,和一个名为 \DosDevices\pcidump 的符号链接对象,通过挂钩IoCreateFile,判断当前操作的文件名是否为自身驱动文件,如果是,则返回 STATUS_UNSUCCESSFUL(不成功)从而使得其他软件无法打开它,更无法有效删除。病毒挂钩进程创建通知CreateProcessNotifyRoutine,当某个进程启动的时候,会对该进程做一些检查,判断创建的进程是否是IE进程,如果是则修改IE命令行为"" .cn,通过这种隐蔽的手段达到修改IE主页的目的。

防范方法

1、使用“瑞星全功能安全软件2010”,有效阻挡通过网页挂马方式传播的病毒;2、安装卡卡上网安全助手6.2自动修复漏洞;3、同时可拨打客服热线400-660-8866咨询,访问客户服务中心网站(.cn)寻求帮助,使用在线专家门诊获得即时支持。

茶几病毒

软件与生俱来的“杯具”――后门

前面我们认识了脚本病毒、宏病毒,除此之外你还会看到杀毒软件的另一种常带有“backdoor.win32”前缀名字的病毒(见图),通过之前的了解,我们知道后面的不同命名指的是病毒发现者对它的个性命名以及变种名。前面的win32表示是一种感染Windows 32位系统的病毒,而backdoor标明了这是一种后门病毒。

首先我们先来了解下软件的开发过程,程序员在编写一个较复杂的软件时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,大型软件更是会将软件分成几个模块,每个人或几个人之负责其中一个模块的开发,最后再将代码合并。这样,为了让最后的测试员方便测试,每一个模块都设计了一个特殊的秘密入口,称为后门。当然,这个后门只有设计者知道,别人是不知道的。按照正常操作程序,在软件交付用户之前,程序员应该去掉软件模块中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完成的程序等种种原因,实际上并未去掉。

后门的存在本来是方便开发者使用,但这也让软件从诞生之初就有了一个隐患,当黑客利用穷举搜索等破解后发现,就可以利用这个后门,像软件设计者一样去控制软件,做一些非法操作。当然,这样的后门并不好找,于是病毒制作者就让病毒首先运行在系统中,通过病毒的运行修改电脑设置,创建一个隐秘的后门,这个后门就用来供病毒制作者使用,这种病毒就是后门病毒。

现在大家常说的后门病毒通常是带有强烈的目的性,也被称为远程控制软件,它分服务端和控制端;服务端相当于总司令,而控制端则相当于士兵,司令通过网络来发送命令让士兵执行各种命令和操作。控制者通过恶意软件捆绑等方式把士兵(病毒客户端)放到被控制者计算机上,通过司令(病毒服务器端)对被控制计算机上的文件等进行操作。后门病毒简单的说就如同拥有一把正常用户的隐形钥匙,什么时候进来和什么时候出去用户自己是不知道的,只是在某些情景下,用户知道自己家进“小偷”了。