英文名称:Trojan/StartPage.ewr
中文名称:“初始页”变种ewr
病毒长度:32768字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:42a5fc345d1f63a076210b569d83d178
特征描述:
Trojan/StartPage.ewr“初始页”变种ewr是“初始页”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。该木马的图标会被设置成RAR压缩包样式,以此达到欺骗用户的目的。“初始页”变种ewr运行后,会弹出标题为“安装程序解压缩数据错误,按确定退出安装!”的窗口。当用户点击“确定”按钮后,该木马的安装程序会将自我删除,以此消除痕迹。“初始页”变种ewr会在系统“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下创建恶意脚本文件“y2.jse”并调用运行。通过IE弹窗的方式访问网页“http://wwv.c*3.net/index2.htm”,以此达到增加指定站点访问量的目的。删除IE浏览器的桌面图标,之后会伪造IE浏览器快捷方式,以此实现诱骗用户点击运行的目的。通过这个快捷方式启动的IE浏览器会自动访问“http://wvw.39*16.com/?x05”、“http://wvw.17*82.com/?x05”或“http://wvw.63*16.com/?x05”这些站点,从而给骇客带来了非法的经济利益。“初始页”变种ewr还会破坏“自定义桌面”中的“IE浏览器”桌面图标设置,致使用户无法再重新创建IE浏览器桌面图标。“初始页”变种ewr会通过结束并重新运行“explorer.exe”的方式达到刷新桌面图标的目的。另外,其还会删除某些安全软件的桌面图标。
英文名称:Trojan/PSW.WOW.cqi
中文名称:“魔兽贼”变种cqi
病毒长度:85504字节
病毒类型:盗号木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:6fd42dee4893d0f24db1d833fc9a8ad0
特征描述:
Trojan/PSW.WOW.cqi“魔兽贼”变种cqi是“魔兽贼”家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件,经过加壳保护处理。“魔兽贼”变种cqi是一个专门盗取“梦幻西游”网络游戏会员账号的木马程序,其会随网络游戏“梦幻西游”一同启动运行后。“魔兽贼”变种cqi运行后,会首先确认自身是否已经插入到“explorer.exe”和游戏进程“my.exe”中。如果已经插入其中,则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“魔兽贼”变种cqi会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。
英文名称:TrojanDownloader.Agent.cbnq
中文名称:“代理木马”变种cbnq
病毒长度:139264字节
病毒类型:木马下载器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:d8b576dbdb38ac95e95a44b9bf7f9e82
特征描述:
TrojanDownloader.Agent.cbnq“代理木马”变种cbnq是“代理木马”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,其图标会被设置成文件夹样式,以此增强迷惑性。“代理木马”变种cbnq运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下分别释放恶意组件“icccy.dll”、“taoba_1.dll”、“cpa_1.exe”。强行篡改被感染系统中的注册表项,致使IE在启动后会自动访问骇客指定的站点“http://www.77*34.net”。在被感染系统的后台遍历除系统盘以外的所有分区,然后将这些分区根目录下的文件夹设置为“系统、只读、隐藏”属性,同时生成与被隐藏文件夹同名的“.exe”文件(图标被设置成文件夹样式),以此诱骗用户点击。用户在点击运行后,“代理木马”变种cbnq会自动打开与之同名的文件夹,从而蒙蔽了用户。“代理木马”变种cbnq运行时,会在被感染系统的后台连接骇客指定的站点“http://202.102.*.116/files/”和“http://www.down1*80.com/maindll/”,分别下载恶意程序“pipi_211_115.exe”和“flymy.dll”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,其会访问骇客指定的页面“http://www.si*m.com/cpa/lin.asp?cpname=&ver=&sname=&user=&netid=&hardid=”,以此对被感染系统进行数量统计。另外,“代理木马”变种cbnq会通过在被感染系统注册表中添加键值“csiddll”和“EyeOnIE Class”的方式实现开机自启。9
7
3
1
2
4
8
: