您好,欢迎来到北京罡鑫科技网站!
当前位置: 首页 > 新闻动态 > 内容页

米伽变种潜伏U盘 疑似越南病毒流入国内

时间:2011年08月08日来源:本站原创作者:admin点击:

  据新华社报道,一种名为“米伽”变种gst的病毒在8月初现身互联网。根据360安全中心监测,该病毒主要通过U盘传播,它会将中招电脑的浏览器首页篡改为一家英文网站,360杀毒和360安全卫士均可拦截并查杀“米伽”变种gst,建议广大电脑用户在安全软件开启的情况下使用U盘。

360系列软件新版本下载:
奇虎360安全卫士 点击本地下载
360杀毒 2.0 点击本地下载

  360安全专家石晓虹博士分析说,“米伽”变种gst是一个典型的感染型病毒。如果有U盘感染了该病毒,“米伽”就会伪装为U盘中的文件夹,而把真正的文件夹隐藏起来。当用户电脑插入带毒U盘时,鼠标双击文件夹就会使“米伽”病毒侵入电脑,从而导致电脑中的大量exe文件也被病毒感染,对用户数据安全具有一定威胁。

  石晓虹博士同时表示,“米伽”变种gst的防御难度并不高,电脑安装有效安全软件即可将其拦截。因此,对打印店、办公室等经常使用U盘的电脑来说,只要注意开启安全软件并定期升级,就能有效防范该病毒感染电脑和U盘。

  值得关注的是,“米伽”变种gst会专门破坏一款越南的杀毒软件Bkav,其原始样本应该是由越南流入国内。此外,该病毒还会通过局域网共享文件夹传播,并控制GoogleTalk和YahooMessenger两款国外流行的聊天工具发送病毒消息。

  附:“米伽”变种gst病毒分析

  病毒名称:“米伽”变种gst

  病毒类型:“伪装文件夹”感染型病毒

  病毒行为:

  一、主要传播途径包括U盘等移动存储设备、局域网共享目录以及GoogleTalk和YahooMessenger这两款聊天工具,利用伪装文件夹吸引用户点击,从而激活病毒。

  二、在system32目录下生成autorun.ini和自身文件chrome.exe,windows目录下生成chrome.exe。

360
图一

  三、感染所有磁盘下的部分EXE文件和名称为目录名的病毒文件,调整文件夹权限属性。

360
图二

360
图三

  四、篡改浏览器主页为http://h1.ripway.com/poojasharma/index.html

360
图四

  五、设置阻止键盘输入,然后自身实现模拟键盘按键,之后恢复键盘输入。

  六、枚举计算机的共享目录,拷贝病毒到其目录下,与共享目录名相同的病毒文件。

  七、禁用任务管理器、禁用注册表工具,修改注册表WINLOGON和RUN项为病毒文件实现自启动,自动更新下载更多恶意程序。

360
图五

  八、从资源管理器菜单和控制面板删除文件夹选项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions = 1,并关闭带有Bkav2006,game_y,System Configuration,Registry,Windows Task开头的窗口,定期结束cmd进程,删除BkavFw和IEProtection在启动项的值。

  九、通过读取注册表googletalk和ymsgr的目录,然后运行"googletalk"和"YahooMessenger" 定期发送消息进行传播,从而进一步扩散病毒传播范围。

北京罡鑫科技开发有限责任公司 http://www.gangxinkeji.com/ 版权所有
地址:北京海淀区中关村南大街一号 电话:010-68498014 传真:010-68946062-8015
中国信息产业网站备案号:湘ICP备06006074号