程的隐蔽性,从而防止被轻易地发现。“初始页”变种bfg会强行篡改IE浏览器的属性和桌面IE快捷方式,设置IE浏览器默认主页为骇客指定站点“www.67*.cn”,致使用户在打开IE浏览器后便会自动连接至该站点,为其增加了访问量,从而给骇客带来了不法的经济利益。“初始页”变种bfg还可能搜集用户的信息,由此造成了用户隐私的泄露。同时,该木马还会连接骇客指定的URL“http://www.buyaohenc*ng.com.cn/api.php”和“http://www.woyaochidon*i.com.cn/update.php”进行自身的更新和下载其它恶意程序等行为,从而给用户造成更大程度的侵害。“初始页”变种bfg的主程序在安装完毕后会将自我删除,从而达到了消除痕迹的目的。另外,其会通过将驱动注册为系统服务的方式实现木马的开机自启。
英文名称:Trojan/Vaklik.axm
中文名称:“伪颗粒”变种axm
病毒长度:194945字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:6513f8803d93e45e36b45825c1bc5eb2
特征描述:
Trojan/Vaklik.axm“伪颗粒”变种axm是“伪颗粒”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“伪颗粒”变种axm运行后,会先在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“klif.sys”或“cdaudio.sys”,然后会将自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“kxvo.exe”。同时,还会在该目录下释放恶意DLL组件“wedasgads*.dll”和“dse235rgd*.dll”,并将这些DLL组件注册成名为“IEHlprObj”的浏览器辅助对象,以此实现恶意推广某些指定网站的目的,使得不法分子从中获利,也干扰了用户对计算机的正常使用。“伪颗粒”变种axm运行时,会将恶意代码注入到系统的“explorer.exe”进程中加载运行,以此隐藏自我,防止被轻易地查杀。强行篡改注册表相关键值,破坏“显示系统隐藏文件”功能,并开启系统中所有驱动器的自动播放功能,为实现其通过移动设备等进行传播创造了条件。“伪颗粒”变种axm是一个盗取“冒险岛Online”、“十二之天貳Online”、“苍天”、“天堂2”等网络游戏账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行的指定游戏进程。一旦发现指定进程的存在,便会通过键盘钩子等手段盗取网络游戏玩家的游戏账号、游戏密码、金钱数量、仓库密码等信息,并将窃得的信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。“伪颗粒”变种axm会通过在系统注册表启动项中添加键值“kxva”的方式来实现木马的开机自动运行。
英文名称:TrojanDropper.Agent.akx
中文名称:“代理木马”变种akx
病毒长度:180474字节
病毒类型:木马释放器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:652a2712fd90d044f7b45af9bf2ed2c7
特征描述:
TrojanDropper.Agent.akx“代理木马”变种akx是“代理木马”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”语言编写。“代理木马”变种akx运行后,会在被感染计算机系统的“%SystemRoot%\”目录下释放8位随机字符文件名的恶意DLL组件,还会在相同目录下释放木马配置文件“P6ycmxZsvI.ini”以及用于自我删除的“P6ycmxZsvI.del”。“代理木马”变种akx释放的DLL组件会被插入到新创建的“svchost.exe”进程中加载运行,并且会在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。其释放的恶意DLL组件会通过篡改指定注册表键值的方式,关闭某些安9
7
3
1
2
3
4
5
6
4
8
: