公告:服务器迁移已顺利完成! 网址全面启用 https

服务器2号 服务器3号 服务器5号

申请VIP无广告,支付宝,微信,USDT!
在线客服请尝试以下不同链接如果进不了的话在线客服(1) (2) (3) (4) (5) (6)
(7) (8) (9) 实时开通

查看完整版本: 金山毒霸发布黄色预警,春节期间usp10.dll猫癣病毒正在流行

樱冢澈 2009-2-3 23:18

金山毒霸发布黄色预警,春节期间usp10.dll猫癣病毒正在流行

2月3日,据金山毒霸“云安全”中心统计的数据显示,在刚刚结束的春节长假期间一些病毒大肆利用长假狠捞一笔。其中usp10.dll猫癣下载器(Win32.Troj.DropperT.ds.39245)成为春节间最流行的病毒,最高时期每天约60万台计算机遭到“猫癣”的攻击。

  金山毒霸云安全中心监测结果显示,春节前小范围爆发的“猫癣”在春节期间疯狂传播,变种数量多达500个,平均每天全国就有40万台电脑染毒。由于春节长假,目前大部分杀毒软件对它都无法监控、也不能处理,就使得“猫癣”病毒的传播处于“稳打稳赢”的状态,一举成为09年初最牛木马下载器。

  金山毒霸云安全中心已监控到广东电信星空极速推广页面,李宁篮球官方网站、哈尔滨工程大学财务处等网站被植入恶意代码,所挂木马正是“usp10.dll猫癣下载器”变种。

  广东电信星空极速站点被挂马图示:引用:[indent][img]http://blog.duba.net/attachment.php?fid=63[/img][/indent]
[b]  猫癣病毒最明显的中毒症状:[/b]引用:[indent]电脑桌面上出现usp10.dll文件、迅雷无法启动及安全软件自动关闭,并且伴随网游帐号被盗。目标囊括魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等主流游戏,对用户的虚拟财产影响巨大。[/indent]
[b]  样本分析:[/b]引用:[indent][b]病毒名称:[/b]
Win32.Troj.DropRootKit.a.143360

[b]启动项列表:[/b]
1.感染ctfmon.exe
2.在非系统盘每个文件夹中释放usp10.dll劫持系统dll
3.释放文件列表:
%windir%\jiocs.dll
%windir%\Tasks\1
%tmp%\98989898
%sys32dir%\sadfasdf.jpg
%sys32dir%\ctfmon.exe

[b]病毒行为:[/b]
1.获取当前进程的PID,若当前PID小于等于0x0a,退出进程。
2.判断创建互斥体
3.解密自己数据段释放驱动文件
4. 解密进程名,结束对应进程
5. 添加对迅雷的映像劫持
6. 释放dll并调用
7. 调用360保险箱卸载参数
8. 修改注册表关闭360监控
9. 解密数据释放文件"1"
10. 创建线程拷贝伪usp10.dll
11. 创建线程关闭窗口和更改显示隐藏文件
12. 创建线程来关闭cmd.exe
13. 创建线程来下载盗号器并将其运行
14. 发送本机信息
15. 获取本机是否装QQ,并发送信息
16. 下载替换HOSTS文件
17. 下载母体自更新
18. 创建开启服务提升权限
19. 调用控制码替换系统文件
20. 导出函数DllEntryPoint
21. 创建互斥变量
22. 关闭杀软进程
23. 添加对迅雷的映像劫持
24.创建线程下载病毒母体
25.导出函数Winext,通过调用WinExec来运行程序[/indent]
[b]  病毒防御方法:[/b]引用:[indent]1.更新病毒库、开启实时监控。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2009年1月21日的病毒库即可查杀以上病毒,但病毒产业链的从业者会不断更新恶意软件,现在正处于黑色产业和安全厂商竞速的阶段。专家提醒,一定要开启实时监控功能,以降低安全风险。

2.使用金山系统清理专家打全补丁,安装金山系统清理专家不会与任何杀毒软件产生冲突,所以非毒霸用户也可以放心下载此软件更新漏洞补丁,特别提醒局域网用户 及时安全ms08-67漏洞以防御病毒攻击。特别提醒中毒的用户不要轻易重装系统,因为新装的系统存在大量漏洞,极易再次中毒。

3.推荐网民安装[url=http://blog.duba.net/read.php?67]金山网盾[/url]以防止该病毒通过网页恶意代码入侵你的系统。[/indent]
[b]  病毒处理办法:[/b]引用:[indent]1.金山系统急救箱可修复猫癣下载器造成的许多异常。对于没及时更新病毒库或非毒霸用户如果不小心感染此病毒,可以访问免费下载最新版[url=http://www.duba.net/zhuansha/263.shtml]金山急救箱[/url]进行查杀。拨打金山毒霸反病毒急救电话010- 82331816,反病毒专家将为您提供帮助。

2.安装[url=http://www.duba.net/download/index.shtml]金山毒霸2009[/url]进行全盘扫描,开启监控,即可解决。[/indent]
[b]  关于“猫癣”这个名字的由来:[/b]
[url=http://hi.baidu.com/litiejun/blog/item/1c5f724381b574169313c6d2.html]原来猫癣这个名字是从这只可怜小猫来的[/url]
  癣字的念法:xuan V(第三声)[img]http://blog.duba.net/attachment.php?fid=64[/img]

trank 2009-2-4 01:35

金山毒霸總喜歡搞這些無病呻吟的動作,或者它是在用另一個方式提醒我們……金山毒霸還在殺

毒界叫得歡呢!

东方苍狼 2009-2-4 09:39

金山要改进就必须快人一步,要不然市场就没有了。

zxc110 2009-2-4 15:54

金山毒霸也就发发情报了 ,我用卡巴斯基全功能安全软件 2009就没在中国病毒,以前用金山老是中毒
页: [1]
查看完整版本: 金山毒霸发布黄色预警,春节期间usp10.dll猫癣病毒正在流行