三国时期窃国贼变种

gouying0907

三国时期窃国贼变种


Trojan/PSW.QQSG.b“QQ三国贼”变种b是“QQ三国贼”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“QQ三国贼”变种b运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意程序。在被感染计算机的后台遍历当前所有进程，查找是否存在“QQ三国”网络游戏。当发现“QQ三国”网络游戏正在运行时，会通过内存截取等技术盗取“QQ三国”网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使“QQ三国”网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。“QQ三国贼”变种b还会强行篡改系统hosts文件，以屏蔽用户对大量游戏官方网站的访问，并将其非法地指向了骇客所设立的服务器“212.**.**.59”上。另外，“QQ三国贼”变种b会通过修改注册表启动项的方式实现开机自动运行。


TrojanSpy.Agent.hgv“代理木马”变种hgv是“代理木马”间谍类木马家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写，并且经过加壳保护处理。“代理木马”变种hgv运行后，会在被感染计算机系统中创建一个隐藏的文件夹，将自我复制到其中，并在该目录下释放一个恶意DLL功能组件。同时，该文件夹还被用来存储“代理木马”变种hgv的配置信息、运行记录以及所搜集到的用户数据等。“代理木马”变种hgv运行时，会监视键盘输入，并通过安装消息钩子等方式截取“MSN”、“ICQ”、“Yahoo Messenger”等即时聊天工具的聊天记录等内容。每间隔5分钟便会进行屏幕截图，并将截图按照一定的规则命名保存。在后台秘密连接骇客指定的远程服务器站点，并将窃取到的用户私密信息发送到其中。“代理木马”变种hgv严重地威胁到了计算机用户的信息安全和个人隐私，同时，还可能对商业机密造成不同程度的侵害。

这给用户的计算机安全和个人隐私带来严重的威胁，甚至还会对商业机密造成无法挽回的损失。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

gouying0907

测试KV2008的反RootKit
通过以上对KV2008粉碎文件功能进行测试, 发现江民可以粉碎受驱动保护的文件和未受驱动保护的文件夹,但是却粉碎不了受驱动保护的文件夹


反RootKit测试

下面就测试下KV2008的"系统诊断"里的反RootKit工具吧,使用特殊的技术隐藏了已经创建好的隐藏文件,在正常模式下无论如何是找不到该文件的,于是利用"系统诊断"工具的"隐藏文件"查找查找了下隐藏文件,被查找了出来,如图:

哈哈,看到江民和冰刃都找出来了隐藏的文件了,冰刃还发现了受隐藏的文件夹,而另外一个位于隐藏文件夹下的江民虽然虽指出了路径,却指的还是文件而不是隐藏目录,不信的话我再住下做个测试,看图:

经特殊处理过后,江民找不到了位于隐藏目录下的文件了

当试图用系统诊断工具的隐藏文件功能去查找被RootKit的目录时却无论如何都找不到,而此目录却是自己亲手创建并加以隐藏的,使用冰刃仍然可以找到此目录并加以删除,希望江民能注重对受驱动保护的目录的操作,在已经中了RootKit病毒的情况下再安装江民,如果是创建了受保护的文件夹,江民岂不是发现不了?希望江民加强此方面的功能.