广告木马对抗安全软件 穿透安全防护体系
- 杭州写字楼网
- 2008/9/22 11:29:31
“杀手广告119784”(Win32.Troj.KillAVT.ah.119784),这个病毒是个广告木马程序。病毒作者在对抗安全软件方面,参考AV终结者的一些行为。如成功入侵系统,它就会弹出许多的广告窗口,严重干扰用户的正常使用。
“挂马广告弹射器57472”(Win32.Adware.AdClicker.wg.57472),这是一个普通的广告木马。它会弹出广告窗口,迫使用户浏览病毒作者指定的网站,为这些网站刷流量。
一、“杀手广告119784”(Win32.Troj.KillAVT.ah.119784) 威胁级别:★
这个广告木马具有对抗安全软件的能力,它在进入用户系统后,就利用自己的驱动文件恢复系统SSTD表,穿透安全软件对系统的防护。
该毒释放出%WINDOWS%目录下的Winxp.dll和%WINDOWS%\system32\drivers\目录下的winsawids.sys,以及%WINDOWS%\system32\目录下的psapi.dll。Winxp.dll是病毒主文件,它会被写入注册表启动项,实现开机自启动,以便加载psapi.dll。Psapi.dll的任务是修改用户的系统配置,让其它模块的运行更顺利。
而winsawids.sys就是病毒的驱动,当利用它解除安全软件的防御后,病毒就进一步利用映像劫持和字串搜索,令安全软件彻底瘫痪,不过它的黑名单并不大,仅包含了金山毒霸和瑞星。
如果顺利解除了安全软件的武装,该毒就会注入IE浏览器,弹出大量的广告页面,迫使用户浏览,为这些网页赚取流量。
二、“挂马广告弹射器57472”(Win32.Adware.AdClicker.wg.57472) 威胁级别:★
该毒行为简单。它将自己的文件spoclsv.exe释放到%WINDOWS%\SYSTEM32\drivers\目录后,就修改注册表启动项,实现自启动,连接病毒作者指定的网址,弹出这些网站的窗口,给它们刷流量。
根据毒霸反病毒工程师的检查,这些网站大多挂得有脚本木马,如果用户系统中存在安全漏洞,就会被感染,而这些木马大多为下载器程序,能下载更多其它木马到系统中运行,引起很多麻烦。
即时安装补丁是对付此类广告木马的最佳措施,这样,即便广告木马弹出广告,系统也不会因为存在漏洞而被下载器们趁虚而入。
- 返回顶部
- 责编:5sw
- 浏览:
- 来源:赛迪网
相关阅读:
- ·“互联网+监管”方案助力数字中国建设(05/09)
- ·网上购物监管线上线下政企合作 营造诚(11/30)
- ·工商总局关于加强网络市场监管的意见(11/10)
- ·浙江构建网络监管新格局(08/20)
- ·我国2292万用户感染移动互联网恶意程序(05/28)
- ·2014年网络市场监管工作年度报告(05/07)
- ·10月10日起 遭遇网络诽谤可直接起诉网(10/10)
- ·上海加强网络交易信息监管(09/10)
- ·央行回应:网络支付限额多少将听取用户(03/25)
- ·苹果网上商店淘宝网亚马逊等被纳入监管(06/26)