天下网吧 >> 网吧天地 >> 网吧行业 >> 网络追踪 >> 正文

华军病毒播报:警惕“魔兽贼”变种

     华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是最新病毒播报,希望大家加强防范,注意安全。

  英文名称:Trojan/StartPage.ewr

  中文名称:“初始页”变种ewr

  病毒长度:32768字节

  病毒类型:木马

  危险级别:★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:42a5fc345d1f63a076210b569d83d178

  特征描述:

  Trojan/StartPage.ewr“初始页”变种ewr是“初始页”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。该木马的图标会被设置成RAR压缩包样式,以此达到欺骗用户的目的。“初始页”变种ewr运行后,会弹出标题为“安装程序解压缩数据错误,按确定退出安装!”的窗口。当用户点击“确定”按钮后,该木马的安装程序会将自我删除,以此消除痕迹。“初始页”变种ewr会在系统“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下创建恶意脚本文件“y2.jse”并调用运行。通过IE弹窗的方式访问网页“http://wwv.c*3.net/index2.htm”,以此达到增加指定站点访问量的目的。删除IE浏览器的桌面图标,之后会伪造IE浏览器快捷方式,以此实现诱骗用户点击运行的目的。通过这个快捷方式启动的IE浏览器会自动访问“http://wvw.39*16.com/?x05”、“http://wvw.17*82.com/?x05”或“http://wvw.63*16.com/?x05”这些站点,从而给骇客带来了非法的经济利益。“初始页”变种ewr还会破坏“自定义桌面”中的“IE浏览器”桌面图标设置,致使用户无法再重新创建IE浏览器桌面图标。“初始页”变种ewr会通过结束并重新运行“explorer.exe”的方式达到刷新桌面图标的目的。另外,其还会删除某些安全软件的桌面图标。

  英文名称:Trojan/PSW.WOW.cqi

  中文名称:“魔兽贼”变种cqi

  病毒长度:85504字节

  病毒类型:盗号木马

  危险级别:★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:6fd42dee4893d0f24db1d833fc9a8ad0

  特征描述:

  Trojan/PSW.WOW.cqi“魔兽贼”变种cqi是“魔兽贼”家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件,经过加壳保护处理。“魔兽贼”变种cqi是一个专门盗取“梦幻西游”网络游戏会员账号的木马程序,其会随网络游戏“梦幻西游”一同启动运行后。“魔兽贼”变种cqi运行后,会首先确认自身是否已经插入到“explorer.exe”和游戏进程“my.exe”中。如果已经插入其中,则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“魔兽贼”变种cqi会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

  英文名称:TrojanDownloader.Agent.cbnq

  中文名称:“代理木马”变种cbnq

  病毒长度:139264字节

  病毒类型:木马下载器

  危险级别:★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:d8b576dbdb38ac95e95a44b9bf7f9e82

  特征描述:

  TrojanDownloader.Agent.cbnq“代理木马”变种cbnq是“代理木马”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,其图标会被设置成文件夹样式,以此增强迷惑性。“代理木马”变种cbnq运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下分别释放恶意组件“icccy.dll”、“taoba_1.dll”、“cpa_1.exe”。强行篡改被感染系统中的注册表项,致使IE在启动后会自动访问骇客指定的站点“http://www.77*34.net”。在被感染系统的后台遍历除系统盘以外的所有分区,然后将这些分区根目录下的文件夹设置为“系统、只读、隐藏”属性,同时生成与被隐藏文件夹同名的“.exe”文件(图标被设置成文件夹样式),以此诱骗用户点击。用户在点击运行后,“代理木马”变种cbnq会自动打开与之同名的文件夹,从而蒙蔽了用户。“代理木马”变种cbnq运行时,会在被感染系统的后台连接骇客指定的站点“http://202.102.*.116/files/”和“http://www.down1*80.com/maindll/”,分别下载恶意程序“pipi_211_115.exe”和“flymy.dll”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,其会访问骇客指定的页面“http://www.si*m.com/cpa/lin.asp?cpname=&ver=&sname=&user=&netid=&hardid=”,以此对被感染系统进行数量统计。另外,“代理木马”变种cbnq会通过在被感染系统注册表中添加键值“csiddll”和“EyeOnIE Class”的方式实现开机自启。9 7 3 1 2 4 8 :

本文来源:华军资讯 作者:厂商投递

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行