您当前的位置:
百度Hi后门寄生虫变种木马
作者:本站 来源:本站整理 发布时间:2008-6-15 7:09:06
减小字体
增大字体杀毒软件测试:
瑞星(病毒库更新:2008.05.06):木马运行时有报警,但无法完全清除木马的DLL文件。
卡巴斯基(病毒库更新:2008.05.06):木马做过针对性加密,杀毒软件无法发现木马。
江民KV 2008(病毒库更新:2008.05.05):木马运行时有报警,木马依旧正常运行。
Avira(病毒库更新:2008.05.05):木马可正常释放病毒体,在调用Piaoxue.dll被杀毒软件发现并进行了删除,木马无法正常运行。
犯罪纪录:随着百度的Hi聊天通讯工具用户飞速增长,黑客们也开始针对其开发了木马程序,此木马是MSN的后门木马变种,木马运行后可盗窃账号、控制用户电脑等。由于百度Hi的应用群体广泛,木马的影响范围非常广。
木马分析:此病毒主要利用网页挂马和百度Hi传送的方式进行传播。木马运行后会所释放出多个病毒文件,主要存在系统盘%Windows%目录下的众多子文件夹中。当用户运行百度Hi时,木马将调用piaoxue.dll文件进行程序释放,当顺利地释放出所有文件,并建立进程,该毒便会打开端口1042(TCP)和1043(UDP),在后台悄悄连接木马设计者指定的远程服务器du…oivb.goo…ges.com,等待黑客控制你的电脑。
木马主体:木马运行后生成名为piaoxue.dll的客户端程序并搜索最频繁打开的程序。并将自身注入到程序随之运行。木马披执行后会有数个进程在任务管理器中运行,分别是WinFor.exe、kvmxcis.exe、cilpnoi.exe、duvadvm.exe。由于木马采用的进程保护的启动方式,是无法通过任务管理器停止进程的。此木马会附带一个xsinffer.exe的嗅探工具对你的机密信息进行盗窃。
解决方案:
①在安全模式下搜索并删除piaoxue.dll、xserver.exe、xlog….log。
②利用IceSword、进程管理专家等第三方工具将WinFor.exe、kvmxcis.exe、cilpnoi.exe、duvadvm.exe进程强行停止。
③进入注册表搜索关于winFormA9.exe、kvmxcis.exe、cilpnoi.exe、duvadvm.exe的键值进行删除。
④搜索xsinffer.dll插件,进行删除。
⑤在防火墙中禁止1042(TCP)和1043(UDP)端口进行数据通信。
文章评论 (评论内容只代表网友观点,与本站立场无关!)