赛门铁克最新监测显示,W32.Downadup家族的新变种W32.Downadup.C已出现。同W32.Downadup家族其他病毒有所不同的是,新变种的主要目的不在于扩大病毒传播范围、入侵更多计算机,而是采用了更先进的手段保护已侵入计算机的W32.Downadup病毒更好的躲避防病毒软件和安全分析工具(如进程监测工具)的检测和移除,从而延长他们在受感染计算机中的“寿命”,以帮助病毒制造者获取更多有价值的信息。
在之前针对W32.Downadup.B的分析文章《W32.Downadup蠕虫病毒及其变种正在广泛传播》中我们提到,受W32.Downadup.B感染的计算机每天会生成250个随意的伪域名,并试图连接这些地址以下载并升级病毒模块。安全软件厂商采用了反域名生成算法可以有效的主动确认和封锁这些域名。不过,这次的病毒新变种W32.Downadup.C将每天能够制造的域名数量从250个提高到50,000个,大大增加了被破解的难度。
同时,为了阻碍计算机中的防病毒软件和安全分析工具的正常运行,W32.Downadup.C会严密监测受感染计算机的进程。一旦发现以下可能同安全软件运行相关的进程,病毒会立刻将其中止:
• wireshark• unlocker• tcpview• sysclean• scct_• regmon• procmon• procexp• ms08-06• mrtstub• mrt.• mbsa.• klwk• kido• kb958• kb890• hotfix• gmer• filemon• downad• confick• avenger• autoruns
赛门铁克正密切关注W32.Downadup.C变种的发展情况,并积极制定应对措施。建议用户尽快升级赛门铁克防病毒软件的病毒定义库和产品更新,以有效的保护计算机安全。