廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1784 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 瑞星卡卡第二號追殺令:瑞星卡卡一路追殺“7939”變種
瑞星卡卡第二號追殺令:瑞星卡卡一路追殺“7939”變種
來源:瑞星公司 時間:2006-11-16 15:11:55
http://it.rising.com.cn/Channels/Info/Vir...661310d38797.shtml

[快訊]11月16日,繼“my123”流氓軟件之後,一個把用戶首頁修改成“7939.com”的流氓軟件遭到瑞星卡卡的追殺,該流氓軟件通過感染計算機上的可執行文件進行傳播,傳播能力超強、受害用戶很多。針對該流氓軟件(病毒),瑞星發布第二號追殺令,迅速升級瑞星卡卡的免費專殺工具庫,向全社會發放“7939”免費專殺工具。
據瑞星反病毒工程師介紹說,與以往流氓軟件相比,“7939”有三大技術特征:利用感染文件的方式傳播,傳播力強、受害人數多;在後台自動頻繁升級,逃避追殺;采用Rootkit技術,很難徹底清除。
瑞星反病毒工程師介紹說,隨著卡卡3.0的發布,廣大非瑞星用戶也可以使用反病毒技術來清除大批流氓軟件,這給流氓軟件編寫者帶來了很大的生存壓力,致使7939、my123等流氓軟件瘋狂采用病毒傳播手段來與瑞星卡卡對抗。

[點擊查看大圖]
針對my123、7939等惡性流氓軟件,瑞星工程師表示,“狐狸再狡猾也鬥不過好獵手,我們有足夠的技術能力對抗流氓軟件的瘋狂反撲。針對my123和7939,瑞星卡卡的快速應對機制已經啓動,它們的變種只要一出現,就會在最短的時間內被瑞星卡卡殺掉。另外,我們已經追查到7939等流氓軟件的背後操縱者相關信息,並且已經向公安機關舉報了,將協助有關部門進行調查。”
瑞星工程師的分析和技術追蹤表明,該流氓軟件的受益者是網址導航站點:WWW.7939.COM(IP:124.94.142.24),該流氓軟件的升級網站爲:Clicksad.COM(202.108.251.210),這兩台主機的物理地址分別位於遼甯和北京。
瑞星反病毒工程師提醒廣大網民,惡性流氓軟件7939采用了Rootkit技術來保護自己,很多反流氓軟件工具和殺毒軟件不能將其徹底清除,致使用戶電腦出現“屢殺不絕”的現象。 這些用戶可以下載安裝“瑞星卡卡3.0”,然後重啓電腦,再用殺毒軟件查殺。卡卡中集成了獨家技術“碎甲(Anti-Rootkit)”,可以破除7939的技術保護,幫助其它安全軟件將其徹底清除。
針對“7939”流氓軟件(病毒),瑞星將推出“流氓軟件7939專殺工具”,並將其集成在卡卡3.0之中,供網民免費下載( http://tool.i...com/ )。已經安裝了瑞星卡卡的用戶,可以點擊“立即升級”按鈕升級到最新版本,然後利用其集成的“7939專殺工具”對其進行徹底查殺。  
附:流氓軟件7939分析報告
一個感染型病毒。
被病毒感染後,首頁被篡改並無法改回。
可能會造成Winlogon.exe異常,導致係統藍屏或重起。
病毒運行後有以下行爲:
一、彈出包含以下內容的對話框:(病毒作者制作被感染文件)
標題:"捆綁軟件"
內容爲:"是否捆綁 [%CURFILE%] ?"
如果用戶選擇"是"病毒就會感染文件,並有感染完成後彈出包含以下內容的對話框:
標題:"恭喜"
內容爲:"捆綁結束!點擊確定程序安全退出!"
二、感染以下幾個文件:
"%WINDIR%\system32\rundll32.exe"
"%WINDIR%\rundll32.exe"
"%WINDIR%\system32\userinit.exe"
"%WINDIR%\regedit.exe"
"%WINDIR%\system\runonce.exe"
"%WINDIR%\system32\runonce.exe"
"IEXPLORE.EXE"
感染的方式爲修改被感染文件入口,將病毒代碼添加被感染文件的尾部。
三、在Winlogon.exe、explorer.exe進程空間中創建感染線程,感染文件,使其他應用程序無法修複被感染文件。
四、修改注冊表以下鍵值:
注冊表鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
數據項:"HomePage"
數據值爲:" http://www.7939.com/"
五、關閉某殺毒軟件的"文件保護"以及"主動防禦"功能。
六、每周2 下載 1." http://click...com/ ****.jpg" (爲PE文件)到臨時目錄並運行!
七、根據 "ht_p://clicksad.com/page.jpg" 文件的內容(網址)修改本地計算機的首頁(病毒本
身修改7939)。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-11-18 01:41 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.082528 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言