- 听众
- 收听
- 积分
- 3894
- 主题
- 回帖
- 0
- 精华
注册时间2008-4-22
最后登录1970-1-1
该用户从未签到
|
本帖最后由 Pledges 于 2010-3-23 23:39 编辑
病毒概述:
"兽害者"是一款功能完备的远程监控类木马,该木马会让用户毫无隐私可言,中毒后,电脑上的图片、视频、文档等文件均可能被黑客偷取.
更严重的是,如果装了视频的用户,很有可能在毫无发觉的情况下被偷窥,因为黑客可以关闭摄像头灯,让中毒者无法发觉自己已经被监视,电脑沦陷为黑客的"第 三只眼"...
病毒特点:
1.伪装好、隐蔽强:该木马的启动方式比较特殊,它会伪造成PDF阅读器的服务来加载病毒体,一般的防御软件都会放行(见图1);同时,由于该木马采用线 程插入系统文件的方式进驻内存(见图2),用户中毒后机器上不会有多出来的可疑进程,且占用资源较小,使用户不易发觉.该木马的后缀名伪装成.pdf,实 际上是一个.dll文件(见图3)
2.不易查杀:用户在中毒后,会发现部分安全软件出现扫描按钮被禁用、提示信息一闪而过等情况,均是该病毒在通过监视窗体、类名等手段在干扰安全软件;同 时,如果企图用冰刃等工具卸载掉该木马的模块,svchost.exe进程会立即复苏,导致用户无法彻底清除"兽害者"木马.
3.变种多:该木马的生成器为了逃脱杀软"特征码"的定位,采用大量字符串加密的方式,并且,该木马会释放出来的DLL文件名和服务名均是随机生成,不易 定位.
中毒症状:
1.安装的部分安全软件出现按钮无法显示:如"清除"、"开始查杀"等按钮被隐藏;扫描或提示界面闪一会就消失:如"安全提示"等右下角提示的实时提示框 被屏蔽.
2.用金山急救箱扫描,发现伪造成PDF阅读器的可疑开机启动服务(见图4)
3.机器网络发生间歇性堵塞,系统进程联网、上传文件(需安装网络流量监控软件)
4.安装并开启文件监控软件FileMon,会看到svchost.exe进程不断访问%System%目录下的某pdf文件(见图5)
3.安装金山网盾,在浏览网页时,对金山网盾未信任的网站打开要慎重.
写在最后:
从央视主持**斌的不雅照被黑客恶意盗取到兽兽门视频被疯狂转载,不论是窥视欲作祟还是金钱驱动,这些事件带给网民们更多的思考应该是如何积极的防御、保 护自己的隐私,拒 绝成为黑客的"肉鸡"、网络的"僵尸".否则,你将成为下一个"兽害者"...
以上来自毒霸研发部病毒分析员 |
|
IP卡
狗仔卡
发表于 2010-3-23 23:36:24
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2010-3-23 23:46:06
