这两个病毒最早在网络蚂蚁的站点发现,可能是其站点的流量分析系统遭到 黑客 攻击所致。当用户连接其站点时,网页脚本利用微软IE的漏洞下载病毒程序在本地运行,导致用户被病毒感染。
一、病毒评估
1.病毒中文名:网蚁,首页
2.病毒英文名:Script.Harnig.ga ,Trojan.Win32.StartPage.es
3.病毒类型: 蠕虫 病毒
4.病毒危险等级:★★★★
5.病毒传播途径:网络、网页
6.病毒依赖系统:Windows 9X/NT/2000/XP
二、病毒的破坏
给系统安置上多个 木马 ,窃取用户信息,泄漏用户机密。
三、病毒报告
用户点开网页时,网页里面的Script.Harnig.ga病毒利用IE漏洞将Trojan.Win32.StartPage.es下载到用户本地并执行。
Trojan.Win32.StartPage.es 运行后将从网上下载Trojan.Sksatssm、Trojan.Xtssksastsm 和 Trojan.Win32.Harnig.g三个文件到本地系统并运行。
Trojan.Win32.StartPage.es病毒介绍:
病毒行为:
病毒运行后将首先杀死一些与体内存在的“黑名单”相符的进程。进程名如下:
MCUPDATE.EXE,
CFIAUDIT.EXE,
AVXQUAR.EXE,
AUTOUPDATE.EXE,
AUTOTRACE.EXE,
AUTODOWN.EXE,
AUPDATE.EXE,
NUPGRADE.EXE,
UPDATE.EXE,
ICSUPP95.EXE,
ICSSUPPNT.EXE,
DRWEBUPW.EXE,
LUALL.EXE,
AVPUPD.EXE,
AVWUPD32.EXE,
ATUPDATER.EXE
接着病毒将连接到hard-xxxns.com 网站上并尝试下载:
/progs/reg33lol.txt,
/progs/secure1a.php
/progs/secure64.php,
/progs/secure30.php,
/progs/mssysadv.txt,
/progs/mstaskss.txt,
/progs/msstasks.txt,
/progs/consol32.txt,
/progs/toffel32.txt,
/progs/dkdial66.txt,
/progs/dkdial33.txt,
/progs/dkdial64.txt,
/progs/dkdial32.txt
到本地系统的%window%目录,并将其命名为以下几种: reg33.exe、mssys.exe、mstaskss.exe、msstasks.exe、consol32.exe、toffel32.exe、dl.exe、dlm.exe,并执行这些文件,其中mssys.exe、console32.exe、toffel32.exe这三个网站上不存在。
注:
mstaskss.exe 为病毒:Trojan.Sksatssm
msstasks.exe 为病毒: Trojan.Xtssksastsm(是个没用的垃圾,作者没有完成功能)
reg33.exe 为病毒: Trojan.Win32.Harnig.g
Trojan.Sksatssm:
病毒行为:
该病毒从体内放出WINUPD.EXE和CMD32.DLL并在 注册表 Software\Microsoft\Windows\CurrentVersion\Run
中加入加载Winupd.exe的键Upgrade Service以达到系统启动时加载Winupd.exe
注:Winupd.exe是病毒TrojanSpy.Skoper一个记录系统键盘信息,并发送到特定邮箱的木马病毒。
Trojan.Win32.Harnig.g:
病毒行为:
在注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run中加入自己的键值:Reg32接着病毒重复执行以下动作:
1.杀死以下进程:
MCUPDATE.EXE,CFIAUDIT.EXE,AVXQUAR.EXE,AUTOUPDATE.EXE,AUTOTRACE.EXE,AUTODOWN.EXE,AUPDATE.EXE,NUPGRADE.EXE,UPDATE.EXE,ICSUPP95.EXE,ICSSUPPNT.EXE,DRWEBUPW.EXE,LUALL.EXE,AVPUPD.EXE,AVWUPD32.EXE,ATUPDATER.EXE
2.修改系统IE的Default_Page_URL,Start Page,Local Page
3.删除系统的host文件
四、病毒解决方案 :
1.使用专杀工具
鉴于该病毒的危害性比较严重,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到: http://it.rising.com.cn/....../tool.htm 网址进行免费下载,并进行该病毒的清除。
2.手动清除
此病毒不适合手工清除,最好采用专业的杀毒软件进行清除。
五、安全建议:
1.建立良好的安全习惯。例如:不要轻易打开一些来历不明的邮件及附件,不要上一些不太了解的网站,不要运行从互联网上下载的未经杀毒处理的软件等,这些必要的习惯会使您的计算机更加安全。
2.关闭或删除系统中不需要的服务。默认情况下,操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大作用,如果删除它们,就能大大减少被攻击的可能性,增强电脑的安全。
3.经常升级安全补丁。据统计,大部分网络病毒都是通过系统安全漏洞进行传播的,象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在,会造成杀毒杀不干净的状况,所以应该定期到微软网站去下载最新的安全补丁,堵住系统的漏洞。
4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数,减少被病毒攻击的概率。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果能了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控打开(如邮件监控)、遇到问题要及时上报,这样才能真正保障计算机的安全。
|