首页 > 单独文章 > 正文

当心新机器狗病毒(service-google.cn)

时间:2008-03-20 18:32:25 作者:officeba 【认证】

根据最新的监测情况我们发现机器狗病毒死灰复燃了,大批新型变种疯狂袭击网络,进入3月份以来更是以每日8~10个变种的速度增长。此外,一些不法分子大肆入侵网站并进行挂马,导致近期恶意网站数量激增,加快了机器狗病毒的传播速度,很多网吧和企业网络遭受严重破坏,情况十分紧急。

我们在测试恶意网站时发现,近期新增的恶意网站大多数包含新机器狗病毒,且均是通过窜改页面代码、远程调用的方式传播。通过代码反查、域名反向解析等方式,一批存放新机器狗病毒的网站逐渐浮出了水面。

例如这个以service-google.cn为主域名的恶意主机内存放有大量新机器狗、磁碟机等病毒,此网站做了泛域名解析,可无限新增、变更子站地址想外疯狂传播病毒,并再通过这些子站向其他网站挂马的方式扩大传播范围,且有进一步蔓延之势,而此站域名Whois信息也是伪造的,还将自己标榜为“谷歌客服”。建议网络管理员尽快将此站IP地址59.60.149.86加入路由器过滤设置。

从网站提取病毒样本分析发现,新机器狗病毒利用VC++编写,采用UPX加壳技术,可使大量安全软件失效,并可在安全模式下随系统加载,利用Rootkits驱动技术实现自我保护。病毒侵入后会修改系统时间为2000年或2099年,穿透还原保护,采用覆盖方式在“Conime.exe”、“Ctfmon.exe”、“Explorer.exe”这三个系统文件头部写入恶意代码。随后下载数量惊人的网游盗号木马,目前截获的样本已涉及到《魔兽世界》、《征途》、《大话西游3》、《诛仙》等多款热门网游。新机器狗的破坏程度有可能超过熊猫烧香病毒。

就在我们调查的同时,又有多个存放新机器狗病毒的恶意主机被发现。例如jebooo.com、u668u.com、gxgxy.net等恶意网站,旗下均有数量不等的而已子站,并采用定期更新病毒下载列表的形式快速更换变种,逃避查杀。初步统计,这伙不法分子通过自建、入侵、挂马等手段掌控有数百个恶意网站大肆施放病毒,一个巨大的僵尸网站群已经形成。

点评:机器狗病毒的再次爆发无疑令众多网吧面临“旧伤未愈又添新伤”的难堪境地。病毒导致的群体性盗号事件会引起顾客极大的愤怒,网吧客源也可能因此流失。

有迹象表明此类采用Roottkits技术的病毒将会越来越多,而目前大多数网吧仍然在用传统的软硬件还原方式,面对汹涌袭来的病毒时将不堪一击,随时可能全网崩溃。因此,当前急需一种全新的网吧存储还原技术,以应对日趋严峻的网络威胁。

新机器狗病毒防范对策

1.安装新机器狗专杀工具断网后查杀。可以使用《金山毒霸专杀》或《360安全卫士专杀》。

2.安装HOSTS反黑文件,最大限度屏蔽新增恶意网站。(地址:http://www.cpcw.com/web/f/host.html)

3.网吧或企业用户在路由器中设置拦截IP地址59.60.149.86。

4.尽快打全系统补丁,特别是MS06-014漏洞补丁。

5.使用Realplayer 11版本播放器,或安装其他兼容播放器(务必保持最新版本)。

6.安装杀毒软件并及时更新。

延展阅读:如何清除还原卡克星“ 机器狗” 病毒 

              www.777bb.com 大肆散播色情


相关文章

同类最新