近期用户反馈在某xx软件下载站,点击高速下载pps网络电视(PPstream)的时候发现桌面突然出现名为桌面秀和好特软件站的图标,系统图标栏出现一个名为果果桌面的软件。
同时打开IE时发现主页已经被篡改为go2000.com,用了很多ie主页修复类软件都没能修复。
这个恶意软件利用了用户喜欢酷炫桌面的心理,精心构造了一个桌面美化类的程序并且在一些网站投放广告,以高速下载,极速下载的名义诱惑用户点击。一旦进入用户系统以后它会修改浏览器的主页为www.g o2000.com(www.qq5.com等),同时会破坏电脑里的IE浏览器执行程序,并且会使用自己精心构造的恶意程序替换系统正常的IE浏览器主程序,从而达到无声无息控制用户IE浏览器的目的。
相对于安全圈里天天你的鼻子我的眼睛,那些靠造病毒发财的人却很和谐——各种各样攻击的教程继续被传播,攻击代码被分享。春节前,金山安全实验室就监测到一个明显的异常——查询rar.exe、ping.exe、appmgmts.dll用户大量增加,金山工程师猜测这个系统文件可能正在被一些病毒攻击。从中,他们找到一些病毒的母体程序。
分析这些样本,他们判断,这些病毒将严重影响大家过年的愉悦指数,他们给这些病毒取了一个很王道的名字——极虎,金山安全实验室会继续监视”极虎“病毒的进一步动向。
以下是对”极虎“病毒的详细分析:
概述:
近期,毒霸捕获到高危的感染型下载者病毒,以下是用户的求助:
1)PING.EXE的进程在不停的跳动,无法结束
2)准备装杀软,发现绝大部分杀软网站都无法访问
3)装360杀毒,安装后无法启动杀软,双击无反应
4)装瑞星2010,能安装,重新启动后无法正常启动,所有监控关闭
5)装费尔能杀,能检测到注册表异常,修复后一直报病毒,能删除,但是一直在不停的删除
6)安全模式还没加载完就自动重启
7)微点、瑞星主动防御启动失败
8)360:无法启动,点后也没反应(进程能看到)
监控系统发现部分杀毒软件检测到appmgmts.dll是病毒后会直接删除,从而导致用户的系统文件受损。
病毒危害:
该病毒会感染用户机器上的所有可执行文件,并联网下载大量xx、广告类软件,严重危害到系统的安全,同时该病毒非常隐蔽,没有特定的进程,而采用"线程" 插入的方法,插入到正常的系统进程Svchost.exe中,只有在进程模块中,才能看到病毒原体。
如图所示是在冰刃中查看到的Svchost.exe模块信息:
病毒xx方法:
1下载金山急救箱,修复被病毒替换的文件
2.重启电脑,运行金山毒霸全盘杀毒,毒霸会修复被感染的文件,并保证用户的文件不会被删除。
未安装的,可以从下载
3.下载金山网盾,防止网页挂马导致的重复性中毒(已经安装金山毒霸组合装的用户不必再安装)
极虎病毒是目前为止,集成了各种病毒、木马、木马下载器、蠕虫特征的超强恶意软件。差不多是若干知名病毒的混合体:传播方式超越熊猫烧香;对杀毒软件的破坏力相当于AV终结者、磁碟机;对系统的破坏力更是始无前例;攻击者的目标极度贪婪,会下载各种xx木马、流氓软件,偷帐号,弹广告,刷流量,可谓无恶不作。
来分析一下极虎病毒创造的四个“之最”:
1.传播方式“最”多样:
(1)网页挂马传播,会利用极光0day等系统漏洞传播
(2)局域网共享传播,通过弱口令在局域网内渗透
(3)通过U盘、数码存储卡、手机卡、移动硬盘等移动设备传播
(4)软件捆绑,欺骗下载,在盗版电影下载站、游戏外挂下载站捆绑下载
(5)感染网页格式的文件进行二次传播(这招熊猫烧香用过)如果不幸某网编中招,就可能造成网站的来访者中毒。
(6)感染可执行文件(很多人电脑中毒,没办法就会ghost,或格盘重装,但一般不是全部格式化,这样重装后,很容易再次中毒)
(7)感染rar压缩包内的可执行程序(这一招会令电脑运行变慢,进程中发现多个rar.exe在运行)
(8)在系统文件夹创建usp10.dll和lpk.dll(这是部分变种的特征,和猫癣病毒的传播手法一致)
2.下载的病毒“最”多样
(1)IE主页篡改类病毒(绑架浏览器,为某些导航站刷流量)
(2)热门游戏xx器
(3)流氓软件安装器(弹广告,改系统配置)
(4)其他类型下载器
3.xx病毒修复系统最“难”搞
(1)感染系统文件让杀毒软件不敢xx,简单的删除这些文件,会损坏系统,比如该病毒会感染"appmgmts.dll mspmsnsv.dll Iprip.dll "等10余种系统文件
(2)感染所有压缩包,手工xx难度大(几乎是无法完成的)
(3)感染所有网页文件,手工xx难度大
(4)局域网内传播,全网查杀难度大(病毒总在查询网络中其它有风险的计算机,会令网速下降)
(5)感染u盘等移动设备,一不小心可导致反复感染。
(6)对抗杀毒软件,主动防御拦截容易被针对性绕过
(7)每日更新,杀毒软件一不留神就不能防御
(8)自保护驱动,攻击驱动技术对抗杀毒软件
4.中毒后,对系统的影响“最”大
(1)综合使用多种手段令杀毒软件失效,比如主动防御无法打开,360打开即关闭
(2)开机提示系统文件丢失
(3)系统明显变慢,CPU占用极高,频繁读写磁盘,可观察到硬盘灯狂闪
(4)进程中莫名出现rar.exe 和 ping.exe 无法结束,或结束后又会再起来。
(5)大量exe文件被感染,反复报毒
(6)桌面IE图标被修改,IE主页异常
(7)部分变种会在程序文件夹下创建usp10.dll和lpk.dll,手动无法删除。
金山安全实验室预计传播极虎病毒的集团还会对病毒进行持续改进,请使用金山毒霸安全组合装,或金山网盾进行防御。
【Moshow魔手点评】:这个病毒果然是高手做的,面面俱到,不得不防,却又防不胜防!