当前位置 > office社区 > 市场监管 > 浏览文章

广告木马对抗安全软件 穿透安全防护体系

  • 杭州写字楼网
  • 2008/9/22 11:29:31
导读:    “杀手广告119784”(Win32.Troj.KillAVT.ah.119784),这个病毒是个广告木马程序。病毒作者在对抗安全软件方面,参考AV终结者的一些行为。如成功入侵系统,它就会弹出许多的广告窗口,严重干扰用户的正常使用。     “挂马广告弹射器57472”(Win32.Adware.AdClicker.wg.57472),这是一个普通的广告木马。它会弹出广告窗口,迫使用户浏览病毒作者指定的网站,为这些网站刷流

    “杀手广告119784”(Win32.Troj.KillAVT.ah.119784),这个病毒是个广告木马程序。病毒作者在对抗安全软件方面,参考AV终结者的一些行为。如成功入侵系统,它就会弹出许多的广告窗口,严重干扰用户的正常使用。

    “挂马广告弹射器57472”(Win32.Adware.AdClicker.wg.57472),这是一个普通的广告木马。它会弹出广告窗口,迫使用户浏览病毒作者指定的网站,为这些网站刷流量。

    一、“杀手广告119784”(Win32.Troj.KillAVT.ah.119784) 威胁级别:★

    这个广告木马具有对抗安全软件的能力,它在进入用户系统后,就利用自己的驱动文件恢复系统SSTD表,穿透安全软件对系统的防护。

    该毒释放出%WINDOWS%目录下的Winxp.dll和%WINDOWS%\system32\drivers\目录下的winsawids.sys,以及%WINDOWS%\system32\目录下的psapi.dll。Winxp.dll是病毒主文件,它会被写入注册表启动项,实现开机自启动,以便加载psapi.dll。Psapi.dll的任务是修改用户的系统配置,让其它模块的运行更顺利。

    而winsawids.sys就是病毒的驱动,当利用它解除安全软件的防御后,病毒就进一步利用映像劫持和字串搜索,令安全软件彻底瘫痪,不过它的黑名单并不大,仅包含了金山毒霸和瑞星。

    如果顺利解除了安全软件的武装,该毒就会注入IE浏览器,弹出大量的广告页面,迫使用户浏览,为这些网页赚取流量。

    二、“挂马广告弹射器57472”(Win32.Adware.AdClicker.wg.57472) 威胁级别:★

    该毒行为简单。它将自己的文件spoclsv.exe释放到%WINDOWS%\SYSTEM32\drivers\目录后,就修改注册表启动项,实现自启动,连接病毒作者指定的网址,弹出这些网站的窗口,给它们刷流量。

    根据毒霸反病毒工程师的检查,这些网站大多挂得有脚本木马,如果用户系统中存在安全漏洞,就会被感染,而这些木马大多为下载器程序,能下载更多其它木马到系统中运行,引起很多麻烦。

    即时安装补丁是对付此类广告木马的最佳措施,这样,即便广告木马弹出广告,系统也不会因为存在漏洞而被下载器们趁虚而入。

关键词:广告木马,木马病毒,网络监管
  • 返回顶部
  • 责编:5sw
  •        
  • 浏览:
  • 来源:赛迪网
[声明]文章仅供学习交流,如涉及版权问题请及时与我们联系kf@5sw.com。感谢所有提供文章的媒体和作者。
最新相关
最新发布