蠕虫Rinbot家族,ShotOne还有Yabarasu木马,以及Expiro.A病毒都是本周熊猫实验室报道的主题。ShotOne木马给感染的计算机带来一系列的麻烦。它修改Windows注册表,阻止系统更新并且禁止用户访问IE中的文件菜单。它还会隐藏“我的文档”和“我的电脑”中的属性项。
该木马还会禁用任务栏的右键菜单和开始按钮,隐藏Notification Area图标以及阻止用户访问开始菜单中的“运行”和“搜索”选项。
系统一启动,该木马就会运行。运行后,它会显示一些列窗口而致使用户无法使用计算机。它还会每隔3个小时重启一下它所感染的计算机。Yabarasu是人们报道的第二个木马,它也是在系统启动的时候运行并且显示如下的窗口。
Yabarasu会在所感染的系统中自行复制。为了欺骗用户,它会隐藏所有文件的扩展名和tooltip(当你将鼠标移到某文件上的时候所出现的信息栏)。Yabarasu还会隐藏C盘中的文件夹,并且用自己的复件替换这些文件夹,带着跟原来文件同样的名字和图标。这样,当用户运行这些文件的时候,他们其实是在运行木马。
ShotOne和Yabarasu都是通过电子邮件,下载文件以及被感染的存储器等等来进入计算机的。
本周PandaLabs发现了很多Rinbot蠕虫家族的变种:Rinbot.B, Rinbot.F, Rinbot.G和Rinbot.H。这些蠕虫都是通过将自己复制到映射盘或者共享网络资源中来传播的。他们还能自行复制到连接到电脑的USB设备中(MP3,记忆棒,……)。
有些变种还能利用一些系统漏洞来传播。以Rinbot.B为例,它利用LSASS和RPC DCOM漏洞。人们早已提供了针对这些安全漏洞的补丁包。
Rinbot.G利用SQL服务器的一个漏洞来把自己验证为用户。一旦它进入某个计算机,该蠕虫会通过TFTP将自己复制到计算机中,然后在系统中运行。
Rinbot.H也利用某个漏洞来传播。这回它利用那些存在MS01-032漏洞的服务器,微软也早提供了同名修正补丁包。
Rinbot蠕虫会在受感染的计算机上打开一个端口,连接到IRC服务器。这样黑客就可以从远程控制计算机。它还会下载Spammer.ZV木马,该木马能够向它在受害计算机上找到的所有邮件地址发送垃圾邮件。最后,该蠕虫还会修改安全设置以及IE的系统权限,从而降低计算机的安全级别。
Rinbot.B的代码有个有趣的地方,里面包含一段它声称是该蠕虫病毒的创作者接受CNN采访的记录,采访中创作者说明了他编写这种蠕虫的动机。下面就是那段文字:
“这是新型恶意软件的一个最显著的特点。恶意软件的创作者通过生成大量的,几乎同时出现的变种来提高感染计算机的几率。这样做同时能够减少公众对威胁的关注度,使用户掉以轻心。”Luis Corrons解释说。
Expiro.A是本周报道的最后一种病毒。它能感染Program Files文件夹及其子文件夹中的可执行文件(.exe),还能感染目录。
一旦用户打开了感染的文件,该病毒与真实文件一起运行。这是为了迷惑用户,致使他们无法察觉到系统已经被感染了。
一旦它怀疑自己被任何安全措施检索到,Expiro.A会立刻停止它的进程。该恶意代码的很多部分都被加密了,这样就难检测到它了。