截屏视频帮助
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response
显示用 简体中文 发布的帖子
Livian Ge | 16 2 月 2011 09:58:38 GMT

        Infostealer.Spunst是一种盗取用户计算机信息的木马。运行后,该木马会首先复制自身并重命名,然后将“替身”存入应用数据文件夹下,并将原始的木马文件删除,从而可以很好地隐藏自己。同时,该木马会在注册表中添加启动项,以实现开机后自启动。

        Infostealer.Spunst会收集受感染计算机中关于文件系统(如文件大小、文件名、磁盘空间大小等)和网络连接(如IP和MAC地址、共享文件夹等)的相关信息,然后将收集到的信息进行加密,并将这些加密信息存储到指定目录下。

        建议用户避免访问可疑网站,尽量不要从互联网上下载来历不明的应用程序。

Livian Ge | 16 2 月 2011 09:55:29 GMT

        Trojan.Verprud是赛门铁克安全响应中心近期发现的一个木马,它会盗窃被感染计算机中的金融交易类信息。

        该木马运行后,会修改注册表项以实现开机自运行。同时,它会禁用Internet Explorer 8的部分保护选项,并尝试关闭某些安全软件相关的进程,以降低计算机的安全保护能力。

        Trojan.Verprud会在被感染的计算机中搜集登陆名、密码等敏感信息,以及与银行相关的Cookie数据;并且搜集用户的Internet Explorer、Firefox浏览器相关的版本、账户等信息。随后,该木马会将收集到的信息发送到远程计算机上。

        Trojan.Verprud 可通过偷渡式下载进行传播。

        鉴于最近网上金融诈骗频繁发生,我们建议用户在使用网上银行时一定格外小心,核实地址栏的URL是否为银行的官方网址。不要亲信来自聊天工具或者短信中的提示。

Livian Ge | 16 2 月 2011 09:52:29 GMT

        Trojan.Senkrad是赛门铁克安全响应中心近期检测到的一个木马病毒,该木马被用于DDoS (Distributed Denial of Service) 攻击。

        该木马运行后将执行以下操作:

        1)将自己拷贝到%System%\dwm.exe,并作为一个名为darkness的后台服务运行。
        2)创建数据文件ddid.dat。
        3)修改Windows防火墙策略,将自身加入到Windows防火墙的可信程序列表。
        4)在被感染的计算机中打开后门并连接到指定网站。

        Trojan.Senkrad 主要通过偷渡式下载来到用户计算机。

Livian Ge | 16 2 月 2011 09:46:20 GMT

        Trojan.Lodelit 是赛门铁克安全响应中心近期检测到的一个后门型木马病毒。该病毒会通过修改注册表将自己加入到Windows防火墙的可信任程序中,从而绕过防火墙的阻拦。 运行后,它会将自身拷贝到%APPDATA%\[random name].exe,同时修改注册表实现开机自启动。之后,该木马将与其控制服务器进行通信,获取执行命令,下载执行其他病毒以及进行自我更新。

        该木马主要通过诱骗用户手动下载、执行来进行传播。

        建议用户避免访问可疑网站,尽量不要从互联网上下载、运行来历不明的应用程序。同时,赛门铁克安全软件已发布针对该木马病毒的检测特征。请及时更新安全软件病毒定义库以抵御该病毒威胁。

Livian Ge | 16 2 月 2011 09:41:05 GMT

        赛门铁克安全响应中心近期检测到的W32.Wapomi.C是蠕虫W32.Wapomi的又一新变种。

        一旦执行,它会首先检查某些特定的服务程序是否正在运行。如果发现某一服务程序当前没有运行,它会立即用自身替换该服务程序,然后重新启动这个已被替换的服务程序。随后,该蠕虫还不忘释放Rootkit来隐藏自身。

        接下来,它会设置注册表键值达到以下目的:

        1)开机自动运行;
        2)映像劫持安全软件;
        3)修改安全模式设置。

        W32.Wapomi.C的传播方式主要有以下几种:

        1)感染文件,包括可执行程序、html文件及rar压缩包里的文件等。被感染的文件检测为W32.Wapomi.C!inf;
        2)拷贝自身到移动存储设备,会在移动存储设备上创建回收站图标的文件夹并将自身拷贝到该文件夹内;
        3)拷贝自身到网络共享。

        建议用户关闭计算机自动播放功能。使用可移动存储设备时,先对其进行安全扫描,确认安全后再打开。尽量不要开启计算机的网络共享功能。同时,避免访问可疑网站,尽量不要从互联网上下载、运行来历不明的应用程序...

Livian Ge | 16 2 月 2011 09:35:38 GMT

        Trojan.Bohu是赛门铁克安全响应中心近期检测到的一个木马病毒。该木马会伪装成播放器来诱导用户下载、运行。

        一旦运行,它会在被感染的计算机上安装一个NDIS驱动 (siglow.sys),该驱动程序将阻止系统访问某些主流安全软件的网站,从而阻止用户获取相关安全信息。同时,该木马还会释放一个DLL程序(netplayone.dll),该程序拦截HTTP数据包并将广告(iframe)插入到数据包中。这些广告源于l0[removed]86.com.cn和0[removed]l.cn两个网站。Trojan.Bohu还会在被感染的计算机上安装一个系统服务(nethome32.dll),该服务会从指定网址下载木马配置文件。

        建议用户避免访问可疑网站,尽量不要从互联网上下载、运行来历不明的应用程序。

Livian Ge | 16 2 月 2011 09:31:21 GMT

        W32.Ckbface是赛门铁克安全响应中心近期检测到的新蠕虫,它会利用即时聊天工具(IM)来传播病毒链接,并且在受感染计算机上开启后门。

        该蠕虫首先会从指定服务器获取恶意链接,然后搜索IM的联系人列表并向他们发送该链接来诱导对方下载执行此蠕虫程序。该蠕虫还会篡改用户计算机的Internet Explorer首页设置。

        W32.Ckbface会通过设置注册表以实现开机自启动;同时,它会将自己添加到Windows防火墙的可信任列表。运行后它会接受来自指定IRC服务器命令,执行以下功能:

        1)开始\停止通过Fackbook聊天室进行传播;
        2)开始\停止通过MSN进行传播;
        3)获取主机信息;
        4)设置IE主页;
        5)蠕虫升级;
        6)蠕虫移除;
        7)下载执行可执行程序。

        建议用户不要轻易点击访问聊天工具中的不明链接。同时,赛门铁克安全软件已发布针对该蠕虫的检测特征。请及时更新安全软件病毒定义库以抵御该病毒威胁。

Livian Ge | 16 2 月 2011 09:26:49 GMT

        W32.Kradellsh 的主要功能是开启计算机后门以接收并执行远程命令,如下载恶意文件,结束进程以及发起DDoS攻击(分布式拒绝服务攻击)等。常见的 Windows 操作系统都可能收到该蠕虫的影响,如 Windows 95/98/Me/NT/2000/ XP/Vista 和 Windows Server 2003。

         一旦执行,W32.Kradellsh 将释放一个Rootkit模块,并通过覆盖系统文件的方式令该模块可通过系统服务被加载。当Rootkit模块运行后,可以修改系统指令以隐藏蠕虫的痕迹,以防系统管理员发现,并保留对根目录的访问权。同时,该蠕虫会拷贝自身到系统目录并命名为与正常系统文件类似的名字,随后它会添加注册表,将拷贝后的病毒文件注册为系统服务。

         W32.Kradellsh主要通过移动存储设备进行传播。

Livian Ge | 16 2 月 2011 09:21:25 GMT

        全球垃圾邮件数量已成为数月来的热门讨论话题,现在看来,它最终停止了不断下降的趋势。1 月的全球垃圾电子邮件数量与前一月相比再次下降,但这主要是由于Rustock 僵尸网络被关闭的缘故。我们预计2 月垃圾邮件数量与1 月相比又将增长,这可能是自2010 年8 月以来的首次上长。总体看来,1 月份的垃圾邮件占该月全部邮件的79.55%,而相比而言,在去年12 月,该比例为81.69%。

 

Livian Ge | 16 2 月 2011 09:16:14 GMT

        近日来,新的恶意应用程序层出不穷。这是否意味着编程专家越来越多了呢?答案是否定的。实际上,多数恶意软件制造者的技术水平仅仅是入门级而已。他们背后的帮凶是各种不同的工具集和编程脚本。

        我们发现帮助制造恶意软件的工具集和脚本的数量快速增长。提供者通过非公开市场出售这些工具集,同时提供有关如何使用这些工具的提示与指导。购买者只需要输入若干参数即可创建定制化的恶意软件。恶意软件包括诱使用户点击广告的广告软件、用于自动填写委托调查的应用程序等。

      用针对Facebook的一个叫 NeoApp 工具集为例。它在地下市场卖50美元,你搜搜也许还可能找到更便宜的卖价。它包含了一些编写PHP的脚本,可用于制造一些Facebook中的小程序。这些小程序可以某 Facebook 账户的联系人名单中的所有人发送垃圾消息,在别人的页面发布调查问卷,或者一些广告链接等,以获得收入。更有意思的是,这些恶意工具集好保证100%的用户满意度。难道使用不满意他们还可以全额退款么?

        我们预计恶意软件工具集和脚本的数量将保持持续上升的态势。但同时,它们也将受到监控,一经发现即被关闭。不幸的是,随着大量新恶意软件不断涌现,用户仍很有可能遭遇个别的恶意软件。因此,用户应一如既往地保持警惕。