由于Skype使用了IE的Web控件来渲染HTML内容,如果 构建了欺骗性网页诱导安装有Skype的用户打开,则可能强迫用户计算机运行木马或病毒的危险,
最全反 上网安全早知道
。修补方案:打开注册表,展开至[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_LocalMachine_Lockdown],新建Skype.exe(DWORD类型)键,并将其键值设置为1。
新马通缉令:“边角间谍”间谍性木马
杀毒软件测试:
瑞星:木马运行时无法发现,当瑞星防火墙开启状态木马调用SMTP服务时有提示。
卡巴斯基:木马运行时无法发现。
McAfeE:木马运行时被发现,但无法完全删除。重新启动计算机后木马再次运行。
江民KV:木马运行时无法发现,但扫描系统盘能发现telluw.dll文件。
犯罪纪录:“边角间谍”间谍性木马是最新被发现的一种利用IE浏览器辅助工具保护自身的新马,此木马主要为窃取用户机密信息,如银行账号、网游密码等。并具备了一些远程控制功能,可以导致被种植木马的计算机被 进行远程操控。
木马分析:“边角间谍”运行后,修改注册表,自我注册为浏览器辅助对象(BHO),实现随系统浏览器的启动而加载运行。调用控制台命令“ntsd.exe -c q -p”,终止某些安全软件的运行,
电脑资料
《最全反 上网安全早知道》(https://www.unjs.com)。如360安全卫士、瑞星卡卡等辅助程序,在被感染计算机上安装其他恶意程序并自动调用运行。可躲避某些杀毒软件、防火墙、上网助手的监控。另外,“边角间谍”还可以自动连接到服务器进行自我升级。木马主体:此木马采用VC++ V7.0-8.0编写,并经过PE6.0加壳保护处理。木马运行后分别将后门程序telluw.cfg和telluw.dll释放到%Windows%\System32\目录下,msrcpe.sys释放到%Windows%\System32\Drivers\目录下,木马会修改系统注册表中的相关数据,实现自己的开机自启动。木马在被感染计算机系统的IE浏览器中隐蔽安装恶意广告工具条来实现本体保护。
解决方案:
1.可以使用瑞星卡卡(重新开启就可以运行了)清理IE辅助工具和临时文件,防止木马再次运行。
2.开机进入安全模式,分别搜索以下文件手工删除:
%Windows%\system32\drivers\目录下的msrcpe.sys
%Windows%\system32\目录下的telluw.cfg和telluw.dll
3.检查注册表,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]内的启动项。
4.如无法手工删除msrcpe.sys文件可以尝试利用PE-SCAN(下载地址:http://www.onlinedown.net/soft/7481.htm)检查是否加壳,进行脱壳后删除。