江民12月4日病毒播报：木马病毒修改系统时间迷惑用户传播恶意程序

      江民今日提醒您注意：在今天的病毒中TrojanDropper.Agent.pyx“代理木马”变种pyx和Worm/AutoRun.xb“U盘寄生虫”变种xb值得关注。

      英文名称：TrojanDropper.Agent.pyx
      中文名称：“代理木马”变种pyx
      病毒长度：442368字节
      病毒类型：木马释放器
      危险级别：★★
      影响平台：Win 9X/ME/NT/2000/XP/2003
      TrojanDropper.Agent.pyx“代理木马”变种pyx是“代理木马”木马家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写。“代理木马”变种pyx运行后，会自我复制到被感染计算机系统的“%SYSTEMROOT%system32”目录下，并重新命名为“compbatc.exe”。同时，还会向系统文件夹中释放病毒文件，并设置这些病毒文件的时间属性为系统创建日期，以此来迷惑用户，防止用户通过文件时间来查找病毒文件。创建“svchost.exe”进程，将自身及病毒文件注入其中运行；之后将病毒自身进程结束，以达到隐蔽自我，防止被用户和安全软件轻易发现、查杀的目的。在被感染计算机中注册名为“compbatc”和“compbatcDrv”的系统服务，以此实现木马在开机后的自启动。在被感染计算机的后台遍历当前系统中的所有进程，一旦发现指定的进程存在，便会以多种方式尝试将其结束；篡改系统Hosts文件，阻止用户升级杀毒软件或访问某些与安全相关的网站，不但降低了用户计算机抵御风险的能力，并且为病毒的进一步破坏做好了铺垫。在被感染计算机的后台秘密下载骇客指定的病毒配置文件“http://www.ush******art.com/kernel/cmd.txt”，并根据配置文件的设置下载恶意程序并调用运行。其中，所下载的恶意程序包括网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的损失。同时，“代理木马”变种pyx还会根据配置文件中的参数，使用多种DDoS手段向指定的目标发起恶意攻击，对互联网的安全环境造成了更大的冲击和破坏。另外，该木马程序还具备自我更新以及向骇客报告用户感染情况的功能。

      英文名称：Worm/AutoRun.xb
      中文名称：“U盘寄生虫”变种xb
      病毒长度：25600字节
      病毒类型：蠕虫
      危险级别：★★
      影响平台：Win 9X/ME/NT/2000/XP/2003
      Worm/AutoRun.xb“U盘寄生虫”变种xb是“U盘寄生虫”蠕虫家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“U盘寄生虫”变种xb运行后，会复制病毒主程序到系统目录下并重新命名保存。在被感染计算机的后台秘密监视正在运行的所有窗口标题，一旦发现标题中存在与安全相关的字符串，便会尝试结束其进程；强行篡改注册表相关键值，使用户计算机系统中“显示系统隐藏文件”的功能失效，从而达到自我保护的目的，提高了病毒的生存几率。“U盘寄生虫”变种xb还会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”和病毒主程序文件（“U盘寄生虫”变种xb），以实现双击盘符激活“U盘寄生虫”变种xb，从而达到利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的，给计算机用户带来了更多潜在的安全威胁。该蠕虫还可能会在被感染计算机系统的后台连接骇客指定的远程站点，下载恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，为用户造成不同程度的损失。另外，“U盘寄生虫”变种xb会在系统注册表启动项中添加键值，实现蠕虫开机自启动。

      针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    5、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    6、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、尽量不要以双击盘符的方式访问硬盘或移动存储设备的分区，而是通过资源管理器中左侧的“树形目录”或在地址栏中输入盘符的方式进行访问。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

未经允许不得转载：DOIT » 江民12月4日病毒播报：木马病毒修改系统时间迷惑用户传播恶意程序