新一代震网病毒可能出现

    DUQU是由几个部分组成。其中的SYS文件（目前被检测为RTKT_DUQU.A），主要负责激活恶意程序并且触发执行其他例程。经过分析，我们发现该文件存在的主要目的是建立自身与其C&C服务器的连接。也就是说，DUQU将会通过此连接将窃取信息的病毒（目前被检测为TROJ_SHADOW.AF）放入受感染电脑。经过确认该病毒（TROJ_SHADOW.AF）的恶意代码与STUXNET（震网病毒）的相关代码非常相似。

    一旦TROJ_SHADOW.AF被运行，他将枚举系统中所有目前正在运行的进程。确认是否有以下安全相关的进程：

    · avp.exe（Kaspersky卡巴斯基）

    · Mcshield.exe（McAfee麦克菲）

    · avguard.exe（Avira小红伞）

   · bdagent.exe（Bitdefender比特梵德）

    · UmxCfg.exe （CA）

    · fsdfwd.exe（F-Secure）

    · rtvscan.exe andccSvcHst.exe （Symantec赛门铁克）

    · ekrn.exe （ESET）

    · RavMonD.exe（Rising瑞星）

   如果发现这些进程，TROJ_SHADOW.AF会加载一个处于暂停状态的相同进程，将恶意代码注入该进程后恢复执行。这样系统中将会有两个杀毒软件进程，第一个是原始进程，而后面一个就是被病毒修改过的。

    TROJ_SHADOW.AF需要使用命令行来正确执行。可用的命令包括：收集感染系统的信息，终止恶意软件进程，删除自身。它能够收集感染系统中的许多类型信息，例如：

    1.驱动器信息：磁盘空间、驱动设备名称；

    2.桌面截图；

    3.正在运行的进程所属用户名；

    4.网络信息：

    IP地址

    路由表

    TCP/UDP表

    DNS缓存表

    本地共享

    5.本地共享目录和已连接用户；

    6.可移动存储设备序列号；

    7.窗口名称；

    8.使用NetFileEnum获取到的系统中打开的文件的信息。

    如果有关于该病毒进一步发现，我们将继续更新此信息。目前，趋势科技防毒产品可以防护来自于这种新病毒的供给。趋势科技SPN智能防护网显示，尚未有趋势科技用户感染此病毒。趋势科技技术部门也尚未接到有关于该病毒的案件。

（编辑：宣城站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!