原文:http://www.jiangmin.com/news/jiangmin/index/important/2010126101658.htm
1月25日,江民全球病毒監控系統、雲安全防毒系統監測數據顯示,有越來越多的病毒採用了全新的欺騙方式,偽裝成IE快捷方式和文件夾已經成為一種新的趨勢。
江民反病毒中心最新監測到的「BHO劫持者」變種aie和「代理木馬」變種cbnq病毒,就採用了偽裝成IE快捷方式和文件夾的欺騙方式。「BHO劫持者」變種aie運行後,會將自身複製到被感染計算機系統的「\Program Files\Internet Explorer\」文件夾下,並重命名為「mstcs.exe」,該病毒的主程序為深藍色IE瀏覽器水晶效果圖標,以達到自我偽裝的目的,防止被用戶發現。同時病毒會在當前用戶桌面上創建IE快捷方式「internet explorer.lnk」,用戶一旦啟動IE瀏覽器,會默認自動打開駭客設置好的惡意網頁「http://***.77177.cn」,並在後台獲取「惡意程序下載地址列表」,然後在被感染計算機上下載該文件中所指定的惡意程序並自動調用運行。其中,所下載的惡意程序可能為網絡遊戲盜號木馬、遠程控制後門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。
「代理木馬」變種cbnq病毒運行後,會在被感染計算機系統的「%SystemRoot%\system32\」文件夾下分別釋放惡意組件文件「icccy.dll」、「taoba_1.dll」、「cpa_1.exe」。同時強行篡改被感染計算機系統中的註冊表項,使IE瀏覽器啟動後自動訪問駭客指定的站點「http://***.771234.net」。「代理木馬」變種病毒還會將系統盤以外的所有盤符下的文件夾屬性都設置為系統、只讀、隱藏,並在當前目錄下生成一個與被隱藏的文件夾同名的「.exe」病毒程序,同時顯示為文件夾圖標。通過這樣的偽裝後,用戶在打開文件夾時,實際上運行的就是病毒程序,然後病毒再把用戶當前要打開的文件夾自動打開,從而達到了欺騙用戶的目的。與「BHO劫持者」變種病毒一樣,該病毒最終也是指向駭客指定的惡意網址,並下載大量惡意程序,嚴重威脅用戶安全。
據江民反病毒專家介紹,近年來隨著用戶安全意識的不斷提高,病毒為了提高自身的生存幾率,也在不斷的改變著偽裝方式。「從分析09年的病毒中我們可以看出,偽裝成快捷方式,尤其是IE快捷方式和偽裝成文件夾的病毒越來越多,並已經逐漸形成一種新的趨勢。通常情況下,病毒入侵到用戶的電腦後,想讓用戶去點擊運行病毒是很難的,這就需要病毒做好自身的偽裝工作,來誘騙用戶點擊。而偽裝成快捷方式,一般不會被人懷疑,同時中毒後,病毒文件也不易被用戶察覺,因此病毒的隱蔽性就更強了」。
針對此類病毒,江民反病毒專家建議廣大用戶,不要被病毒偽裝的表象所迷惑,一定要安裝具備主動防禦「沙盒技術」和啟髮式掃瞄功能的正版殺毒軟件,該功能可以有效、準確地識別各類偽裝病毒,確保用戶電腦免遭病毒侵害。同時建議用戶開啟江民殺毒軟件KV2010的系統監控功能,該功能可對病毒試圖下載惡意程序、強行篡改系統時間、注入進程和調用其它惡意程序等行為進行監控並自動干預、處理,有效地遏制了未知病毒對系統所造成的干擾和破壞,更大程度的提高了計算機對於未知病毒的防範能力。
********************************************************************************************************
基本上,上文中的假ie圖示至少出現半年已上有了,至於有沒有產生mstcs.exe或者是否連到「http://***.77177.cn」就不一定了!
由內文中可知,即使是江民也無法在第一時間就把此類木馬攔下,才會奉勸使用者開啟系統監控中的沙盒技術,讓系統防火牆發揮其功用,雖然hips會因為頻繁的出現詢問視窗而讓使用者感到厭煩,但這卻能讓使用者避開許多危機!這也是為什麼越來越多防毒軟體開始內建hips的原因!
留言列表
