病毒播报:”袜子虫” 威胁操作系统操作系统

安全在线报道 江民7月2日病毒播报:"袜子虫"利用ROOTKIT技术挂接操作系统操作系统

江民今日提醒您注意：在今天的病毒中Trojan/Soul.t"灵木马"变种t和Worm/Socks.d"袜子虫"变种d值得关注。

病毒名称：Trojan/Soul.t

中 文 名："灵木马"变种t

病毒长度：85504字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Soul.t"灵木马"变种t是"灵木马"木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。"灵木马"变种t运行后，自我复制到被感染计算机的"%SystemRoot%system32"目录下，重命名为"110.exe"，并在相同目录下释放病毒组件"Soul.dll"。自我注册为系统服务，实现木马开机自动运行。将恶意代码恶意代码恶意代码恶意代码注入到系统进程中加载运行，隐藏自我，躲避某些杀毒软件的查杀以及防火墙的拦截。秘密连接骇客指定站点，骇客可通过"灵木马"变种t远程完全控制被感染的计算机，进行的恶意操作包括：文件操作、进程操作、注册表操作、服务操作、屏幕监控，键盘记录、命令操作等，给用户的个人隐私，甚至商业机密造成严重威胁。

病毒名称：Worm/Socks.d

中 文 名："袜子虫"变种d

病毒长度：172032字节

病毒类型：蠕虫蠕虫蠕虫蠕虫

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

Worm/Socks.d"袜子虫"变种d是"袜子虫"蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。"袜子虫"变种d运行后，在被感染计算机系统的"%SystemRoot%system32drivers"目录下释放一个恶意的驱动程序文件"qandr.sys"。将"qandr.sys"注册为系统服务，实现蠕虫开机自动运行。利用Rootkit技术，采用"SSDT HOOK"技术挂接了系统中的"NtEnumerateKey"和"NtOpenKey"API函数，采用"FSD inline HOOK"技术挂接了系统文件过滤驱动中的"IRP_MJ_DIRECTORY_CONTROL"请求，隐藏自我，防止被查杀。一旦用户计算机感染该病毒则很难清除干净。"袜子虫"变种d可能是一个驱动级的后门程序，会给被感染计算机用户带来潜在的危险，同时会带去不同程度的损失。另外，"袜子虫"变种d会在系统临时文件夹下创建一个批处理程序文件，当恶意驱动程序文件"qandr.sys"安装完毕后调用这个批处理程序实现自我删除。

针对以上病毒，江民反病毒中心建议广大电脑用户：

1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除"壳病毒"。

5、江民杀毒软件可以在系统崩溃无法进入的情况下，一键恢复系统，无论是恶性病毒破坏或电脑用户误删除系统文件，都可轻松还原系统到无毒状态或正常状态。

6、"江民密保"可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。

7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp.

有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com/进行在线查阅。

瑞星7月2日反病毒及木马播报

据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是："灰鸽子变种BNL（Backdoor.Win32.Gpigeon2007.bnl）"病毒。该病毒通过网络传播，病毒会偷窃用户隐私信息，还可能远程控制用户计算机，给用户计算机安全带来极大危害。

本日热门病毒：

"灰鸽子变种BNL（Backdoor.Win32.Gpigeon2007. bnl）"病毒：警惕程度★★★，后门病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等，给用户的计算机和隐私安全带来很大隐患。

反病毒专家建议电脑用户采取以下措施预防该病毒：1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次；2、使用"瑞星系统安全漏洞扫描"，打好补丁，弥补系统漏洞；3、不浏览不良网站，不随意下载安装可疑插件；4、不接收QQ、MSN、Email等传来的可疑文件；5、上网时打开杀毒软件实时监控功能；6、把网银、网游、QQ等重要软件加入到"瑞星帐号保险柜"中，可以有效保护密码安全；7、登陆http://tool.ikaka.com/下载并安装免费的瑞星卡卡5.2，打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

如遇病毒，请拨打反病毒急救电话：82678800。能够上网的用户可以访问瑞星反病毒资讯网：http://www.rising.com.cn/或登录http://help.rising.com.cn/使用在线专家门诊进行免费咨询。

金山毒霸每日病毒预警

"链接库蛀虫8192"（Win32.Patched.af.8192），这是一个感染型的蠕虫病毒文件。它会修改系统中的一些关键函数，导致系统运行出现错乱。

"网银黑客盗号器61440"（Win32.Hack.Agent.61440），这是一个黑客盗号程序。该病毒运行后会替换掉系统桌面文件explore.exe和beep.sys文件。被感染的计算机如果访问银行的网站，就会被该病毒记录下用户输入的数据，导致网银帐号丢失。

一、"链接库蛀虫8192"（Win32.Patched.af.8192）  威胁级别：★★

这个病毒对系统有着很明显的破坏能力，如果该毒进入了用户的电脑，将可能导致系统运行出错。

病毒通过感染exe文件实现传播。它把自己加到正常文件的开头。如果用户将被感染文件复制到新电脑上并运行，病毒就会释放出自己的文件7nmt3w40.exe到%windows%system32目录中，同时释放出被它感染的正常文件运行。

但是，一旦病毒文件被释放，它就会搜索WINDOWS系统中的kernel32.dll文件，强行修改其中的一些函数。这个kernel32.dll是系统的动态链接库文件，负责内存管理、输入输出以及中断等工作。病毒对它进行修改后，将导致系统运行出错，给用户的正常工作造成不便。

二、"网银黑客盗号器61440"（Win32.Hack.Agent.61440）  威胁级别：★★

这个病毒在对抗安全软件方面下了些功夫，目的是盗窃用户的网银帐号。

病毒进入系统后，释放出四个病毒文件，分别是%WINDOWS%system32目录下的explore.exe、%Windows%目录下的ponto.DLL和1.exe，以及%WINDOWS%system32drivers目录下的beep.sys。

这里需提及的是，explore.exe与beep.sys在系统中本身就存在。前者是系统桌面文件，用自己的文件将其替换，能够便于病毒监视各种进程；后者则为系统用于提供控制系统发音，替换掉它，可以降低用户获知系统异常的机会。从而让病毒能够躲避查杀。

完成以上工作，病毒就修改注册表，把主文件1.exe加进启动项，实现开机自启动。并记录下用户通过IE浏览器浏览器上网时输入的类似银行帐号和密码的数据，然后悄悄连接病毒作者指定的地址http://www.silvana****.kit.net/，将记录到的数据发送出去。造成用户的帐号泄露，遭受财产损失。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

未经允许不得转载：DOIT » 病毒播报:”袜子虫” 威胁操作系统操作系统