天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

谨防“友好客户”“网游窃贼”的新变种

2009-9-1赛迪网赛迪网
59685">
  江民今日(8月31日)提醒您注意:在今天的病毒中Backdoor/PcClient.lwz“友好客户”变种lwz和Trojan/PSW.OnLineGames.azuc“网游窃贼”变种azuc值得关注。

英文名称:Backdoor/PcClient.lwz

中文名称:“友好客户”变种lwz

病毒长度:73256字节

病毒类型:后门

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:c59afd17d4dd891430ac6ed176c07a61

特征描述:

Backdoor/PcClient.lwz“友好客户”变种lwz是“友好客户”后门家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“友好客户”变种lwz运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放经过加壳保护的恶意DLL组件“*.dll”(*为随机6个字母),并修改文件时间属性以迷惑用户。同时,还会生成文件“00062ba8.ini”以标识被感染系统。“友好客户”变种lwz运行时,会以系统服务的方式将释放的DLL文件通过“svchost.exe”加载运行。该DLL文件运行后,会不断尝试与控制端(IP地址为:202.106.*.30:82)进行连接。一旦连接成功,则被感染的计算机就会沦为傀儡主机。骇客可通过恶意指令执行任意的控制操作,其中包括文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等,给用户的计算机安全造成了不同程度的损失。同时,骇客还可以向傀儡主机发送大量的恶意程序,从而对用户构成了更加严重的威胁。另外,“友好客户”变种lwz会在被感染计算机中注册名为“WinHelp31”的系统服务(服务名称显示为“WindowsHelpSystenx31”),以此实现后门的开机自启。

英文名称:Trojan/PSW.OnLineGames.azuc

中文名称:“网游窃贼”变种azuc

病毒长度:100864字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:2375be92c5e223fe93870e763b7a809f

特征描述:

Trojan/PSW.OnLineGames.azuc“网游窃贼”变种azuc是“网游窃贼”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“网游窃贼”变种azuc运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“System64.exe”。之后会将自我删除,以此消除痕迹。“网游窃贼”变种azuc运行时,会创建“userinit.EXE”进程并将恶意代码注入其中隐秘运行。其会在被感染系统的后台连接骇客指定的控制端,致使被感染的计算机沦为骇客的肉鸡,从而将个人隐私以及系统的控制权彻底的暴露在骇客面前,造成了不同程度的损失。骇客还可以向肉鸡发送大量的恶意程序,更进一步地增加了被感染系统所面临的风险。另外,“网游窃贼”变种azuc会在被感染系统注册表启动项中添加键值“DRAT2009”,以此实现木马的开机自动运行。

本文来源:赛迪网 作者:赛迪网

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行