今日提醒您注意:在今天的病毒中“HTTP炸彈”變種oc和“密室之門”變種bl值得關注。
一、今日高危病毒簡介及中毒現象描述:
Backdoor/Httpbot.oc“HTTP炸彈”變種oc是“HTTP炸彈”家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫。“HTTP炸彈”變種oc運行后,會自我復制到被感染系統的“%SystemRoot%system32”文件夾下,重新命名為“WinHelp32.exe”。其還會將“%programfiles%360360Safe”文件進行重命名,并且在“%SystemRoot%system32drivers”文件夾下釋放惡意驅動程序“PCISuperxo.sys”。“HTTP炸彈”變種oc在完成安裝后,會利用“SSDT HOOK”技術恢復被感染系統中的SSDT表(System Service Descriptor Table,系統服務描述表),致使大部分安全軟番禺網站建設件的監控與主動防御功能失效,之后會試圖結束這些安全軟件的進程,從而達到了自我保護的目的。“HTTP炸彈”變種oc還會與客戶端(IP地址為:121.14.*.150:7403)進行連接,如果連接成功,則被感染的計算機就會淪為傀儡主機。駭客可以向被感染的計算機發送惡意指令,從而執行任意控制操作(其中包括:文件管理、進程控制、注冊表番禺網站設計操作、服務管理、遠程命令執行、屏幕監控、鍵盤監聽、鼠標控制、音頻監控、視頻監控等),會給用戶的信息安全構成嚴重的威脅。另外,“HTTP炸彈”變種oc在安裝完成之后會將自身刪除,以此消除痕跡。
Backdoor/Kykyshka.bl“密室之門”變種bl是“密室之門”家族中的最新成員之一,采用高級語言編寫,經過加殼保護處理。“密室之門”變種bl運行后,會自我復制到被感染系統的“%programfiles%Common FilesSystemado”文件夾下,重新命名為“SrEAz3.exe”。之后原病毒程序會將自身刪除,以此消除痕跡。其會在被感染系統的后臺連接駭客指定的遠程站點“www.l*9.com/sms/”,下載惡意程序“sms.jpg”并自動調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣番禺做網站公司告程序(流氓軟件)等,致使用戶面臨更多的威脅。另外,其會訪問駭客指定的URL“o*9.com:8080/upopwin/count.asp”,以此對被感染系統進行數量統計。“密室之門”變種bl還會秘密連接駭客指定的遠程站點,偵聽駭客的指令,從而在被感染的計算機上執行相應的惡意操作。駭客可通過“密室之門”變種bl完全遠程控制被感染的系統,不僅使得用戶的信息安全和個人隱私面臨著嚴重的威脅,甚至還會對商業機密造成無法挽回的損失。
二、針對以上病毒,比特網安全頻道建議廣大用戶:
1、最好安裝專業的殺毒軟件進行全面監控并及時升級病毒代碼庫。建議用戶將一些主要監控經常打開,如郵件監控、內存監控等,目的是防止目前盛行的病毒、木馬、有害程序或網站建設代碼等攻擊用戶計算機。
2、請勿隨意打開郵件中的附件,尤其是來歷不明的郵件。企業級用戶可在通用的郵件服務器平臺開啟監控系統,在郵件網關處攔截病毒,確保郵件客戶端的安全。
3、企業級用戶應及時升級控制中心,并建議相關管理人員在適當時候進行全網查殺病毒。另外為保證企業信息安全,應關閉共享目錄并為管理員帳戶設置強口令,不要將管理員口令設置為空或過于簡單的密碼。
截至記者發稿時止,江民的病毒庫已更新,并能查殺上述病毒。
粵公網安備44011302004697
