Tag Archives: Security Response

Trojan.Mebratix?????“????”?????

      No Comments on Trojan.Mebratix?????“????”?????

        Trojan.Mebratix家族是一个比较少见的、会侵入计算机磁盘引导区(Master Boot Record,MBR)的感染型病毒,危害性强且技术含量高。自2010年3月该病毒被首次曝光后(又名“鬼影病毒”),近期赛门铁克安全响应中心又检测到该家族的新变种—Trojan.Mebratix.B。
 
        之前的Trojan.Mebratix病毒感染计算机后,会将主引导区的原代码拷贝到下一个扇区,并用恶意代码替换原引导区的代码。由此,该病毒便获取了先于操作系统的启动权,而且一般的系统重装无法彻底清除该病毒。
 
        而新变种Trojan.Mebratix.B在感染计算机的同时,更大大提升了自身的隐蔽性。分析显示,Trojan.Mebratix.B在感染系统主引导区以后,不会直接将恶意代码放置到主引导扇区,而是将其放置到主引导扇区之后的其他扇区。如下图所示:

                        图一Trojan.Mebratix.B恶意代码所在内存位置

        接下来,Trojan.Mebratix.B通过修改主引导扇区代码中的内存拷贝参数,在主引导区内调用和执行恶意代码。如下图所示:

                        图二   系统引导时的扩展内存读取

        而原主引导代码则被Trojan.Mebratix.B放置至第三扇区,如下图所示:

                        图三原主引导区代码被挪后

        这样,变种Trojan.Mebratix.B不仅取得了先于操作系统的启动权,并且很好地隐藏了感染代码,令其不易被安全软件检测到。
 
        此外,新变种采用了特殊的方法将恶意代码隐藏于系统之中。它会直接将恶意代码写入系统引导区所在分区未使用的磁盘空间中,使得一般工具无法找到恶意代码的隐匿之处。
 
        Trojan.Mebratix.B运行后,还会将恶意代码注入到explorer进程,从网站http://www.t[REMOVED].cn/n.txt下载文件,以及将计算机相关信息发送到http://www. t[REMOVED].cn/count.aspx?i=xxxxx.
 
        Trojan.Mebratix.B主要通过偷渡式下载的方式进行传播。

Trojan.Heloag?“????”???????

      No Comments on Trojan.Heloag?“????”???????

        Trojan.Heloag是一个木马程序,它会在被感染的计算机中开启后门,并下载及执行其它恶意程序。运行时,Trojan.Heloag会添加注册表以实现开机自动运行,并在Windows目录下释放一个恶意文件。值得注意的是,Trojan.Heloag非常善于隐藏自身:它将被释放的恶意文件的属性设置为系统保护文件,并且在受害计算机的注册表中设置隐藏所有系统保护文件。下图是感染该木马后隐藏系统保护文件的设置状态:

        同时,该木马不允许用户修改计算机的该状态设置。
 
        因此,用户如果直接使用浏览器打开Windows目录则无法查看到包括该恶意文件在内的属性为系统保护文件的所有文件,只有使用专门的工具(如IceSword)才能查看到这些被隐藏的系统保护文件。下图是分别使用普通浏览器和IceSword工具查看到的Windows文件目录:

        Trojan.Heloag释放的恶意文件被命名为ThunderUpdate.exe。用户即使查看到该文件,也可能很容易被该名字所欺骗,误以为这是P2P软件“Thunder(迅雷)”的自动更新程序从而放松警惕。
 
        Trojan.Heloag还会尝试访问一些站点以试图下载更多的恶意程序到用户计算机中。Trojan.Heloag还将试图连接到另一恶意站点的8090端口。如果连接成功,该木马会在受感染计算机中开启后门,从而接受攻击者的远程命令。
 
        建议用户保持更新安全软件病毒库以抵御该病毒威胁。不要轻易访问可疑网站。一旦发现无法查看系统保护文件并且无法更改关于隐藏系统保护文件的设置状态,请立即使用诺顿安全软件对您的电脑进行全盘扫描。

??“??”????QQ???????

      No Comments on ??“??”????QQ???????

        近日,一则虚假的免费加话费的信息— “上72ub.com,有惊喜”— 通过手机QQ用户在其好友群里疯狂散布。用户点击该网址后,并不会直接登陆到72ub.com,而会被重定向至病毒制造者在新浪或163创建的博客。这些博客内容一致,均以图片形式推销假冒移动进行的查姓名送200元话费活动:

       
        如果用户出于好奇拨打该号码,企图获得免费的话费,那么“恭喜”你,您得到的不是免费话费,而将被扣费。通过我们的查询,该号码其实是一个声讯台号码,每分钟用户需付费2.2元人民币。这笔不法所得,则是病毒制造者的终极目的。
 
        赛门铁克已发布相关病毒定义,并将继续跟踪该木马的发展。

??QQ????Trojan.PWS.QQPass“?????”

      No Comments on ??QQ????Trojan.PWS.QQPass“?????”

        QQ是一个拥有广大客户群的即时聊天工具,因此也出现了许多针对QQ的病毒攻击。赛门铁克安全响应中心近期检测到QQ盗号木马Trojan.PWS.QQPass的又一新变种。
 
        运行时,它会首先检查用户是否安装了QQ聊天工具。如果检测到有,它就会在QQ安装目录下释放一个名为qqc.dll的动态链接库文件并且选择一个会被QQ.exe加载的.dll文件进行感染,然后将感染后的该.dll文件导入qqc.dll。这样,当用户运行QQ时,qqc.dll将会被加载。qqc.dll会创建一个线程不断搜索QQ用户登录窗口,一旦找到,它会立即将真实的登录窗口隐藏起来,并抛出一个非常逼真的名为“QQ用户登录”的假冒登录窗口。图一、图二分别是假冒登录窗口与真实的QQ登录窗口:

                                   图一:假冒登录窗口

                            图二:真实的QQ登录窗口

        可见,用户如果不仔细辨别则很难区分真伪。但是,与真实的QQ登录窗口不同的是,如果用户点击假冒窗口中的“查杀木马”或“设置”按钮,该窗口不会作出任何响应。图三、图四分别是这两个真假窗口的组件信息:

                      图三:假冒登录窗口的组件信息

                     图四:真实的QQ登录窗口的组件信息

        一旦用户在假冒的登录窗口中输入QQ号码及密码并点击其上的登录按钮,这些信息就会被发送到指定的地址。该木马非常狡猾,为了避免自己的恶意行为被发现,它会把用户输入的登录信息同时转送至真实的登录窗口以便QQ正常登录,使受害用户误以为一切正常。
 
        该病毒通常通过网页挂马的方式来到受害用户计算机。因此,我们建议用户尽量不要访问可以网站,以免感染该病毒。