网上“散步”当心引来新机器狗
网络安全
新收录的恶意网站
钓鱼/诈骗:4个
色情淫秽:10个
病毒网页:101个
HOSTS反黑文件下载
最新版本:2008.03.17
文件大小:7KB
累计下载次数:74868 (截至2008年3月10日)
全球唯一下载地址:http://www.cpcw.com/web/f/host.html
使用方法:解压后将HOSTS文件直接覆盖至C:\Windows\System32\Drivers\Etc即可。为防止某些恶意网站或病毒窜改HOSTS,请确保此文件属性为“只读”。
恶意网站地址:*.service-google.cn
投诉人数:4279
危害程度:★★★★★
IP地址:59.60.149.86
定位:福建省漳州市电信
恶意网站特征:含有大量机器狗病毒。
恶意网站目的:大面积传播机器狗病毒,破坏用户系统并下载其他盗号木马。
根据最新的监测情况我们发现机器狗病毒死灰复燃了,大批新型变种疯狂袭击网络,进入3月以来更是以每日8~10个变种的速度增长。此外,一些不法分子大肆入侵网站并进行挂马,导致近期恶意网站数量激增,加快了机器狗病毒的传播速度,很多网吧和企业网络遭受严重破坏,情况十分紧急。
我们在测试恶意网站时发现,近期新增的恶意网站大多数包含新机器狗病毒,且均是通过窜改页面代码、远程调用的方式传播。经过代码反查、域名反向解析等方式,一批存放新机器狗病毒的网站逐渐浮出水面。
例如这个以service-google.cn为主域名的恶意主机内存放有大量新机器狗、磁碟机等病毒,此网站做了泛域名解析,可无限新增、变更子站地址向外疯狂传播病毒,并再通过这些子站向其他网站挂马的方式扩大传播范围,且有进一步蔓延之势,而此站域名Whois信息也是伪造的,还将自己标榜为“谷歌客服”。建议网络管理员尽快将此站IP地址 59.60.149.86加入路由器过滤设置。
从网站提取病毒样本分析发现,新机器狗病毒用VC++编写,采用UPX加壳技术,可使大量安全软件失效,并可在安全模式下随系统加载,利用Rootkits驱动技术实现自我保护。病毒侵入后会修改系统时间为2000年或2099年,穿透还原保护,采用覆盖方式在“Conime.exe”、“Ctfmon.exe”、“Explorer.exe”这三个系统文件头部写入恶意代码。随后下载数量惊人的网游盗号木马,目前截获的样本已涉及到《魔兽世界》、《征途》、《大话西游3》、《诛仙》等多款热门网游。新机器狗的破坏程度有可能超过熊猫烧香病毒。
就在我们调查的同时,又有多个存放新机器狗病毒的恶意主机被发现。例如jebooo.com、u668u.com、gxgxy.net等恶意网站,旗下均有数量不等的恶意子站,并采用定期更新病毒下载列表的形式快速更换变种,逃避查杀。初步统计,这伙不法分子通过自建、入侵、挂马等手段掌控有数百个恶意网站大肆施放病毒,一个巨大的僵尸网站群已经形成。
小新点评:机器狗病毒的再度爆发无疑令众多网吧面临“旧伤未愈又添新伤”的难堪境地。病毒导致的群体性盗号事件会引起顾客极大的愤怒,网吧客源也可能因此流失。
有迹象表明此类采用Rootkits技术的病毒将会越来越多,而目前大多数网吧依然在用传统的软硬件还原方式,面对汹涌袭来的病毒时将不堪一击,随时可能全网崩溃。因此,当前急需一种全新的网吧存储还原技术,以应对日趋严峻的网络威胁。
新机器狗病毒防范对策
为此,本期《黑榜》紧急更新了HOSTS反黑文件,能屏蔽多个传播新机器狗病毒的恶意网站。对于已中毒的用户请按照以下应急措施处理:
1.安装新机器狗专杀工具断网后查杀。可以使用《金山毒霸专杀》或《360安全卫士专杀》(软件下载地址:http://www.cpcw.com/bzsoft)。
2.安装本期HOSTS反黑文件,最大限度屏蔽新增恶意网站。
3.网吧或企业用户在路由器中设置拦截IP地址59.60.149.86。
4.尽快打全系统补丁,特别是MS06-014漏洞补丁。
5.使用Realplayer 11版本播放器,或安装其他兼容播放器(务必保持最新版本)。
6.安装杀毒软件并及时更新。
举报网站鉴定
读者 Rockbaby:www.goyer.cn里面有个《万人迷远程视频强制嗅探》软件,说是只要推广100个IP地址就可免费获得注册码,不知道是不是真的?
小新分析:此站页面嵌有新机器狗病毒,而且所谓的嗅探软件并不存在,纯属骗人,请大家提高警惕不要上当。请使用本期的HOSTS反黑文件屏蔽,并尽快升级杀毒软件全盘查杀。
鉴定结果:不安全
读者499343:我玩《QQ飞车》时,收到网站是qq08kk.cn或qqvip08.cn发出的中奖信,不知是不是真的?
小新分析:这两个网站均是冒充腾讯实施诈骗的钓鱼网站,经我们查证,腾讯从未举办过此类中奖活动。
鉴定结果:不安全