61607">
(7)“无极杀手”及其变种(Win32/Piloyd.b)
病毒名称:Win32/Piloyd.b
中 文 名:“无极杀手”变种b
病毒类型:Windows病毒
危险级别:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
Worm/Piloyd.b“无极杀手”变种b是“无极杀手”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“无极杀手”变种b运行后,会替换系统文件“%SystemRoot%\system32\qmgr.dll”(BITS后台智能传输服务所对应的文件),以此实现开机自启。同时通过批处理将自我复制为“%SystemRoot%\system32\dllcache\lsasvc.dll”,然后原病毒程序会将自我删除,从而消除痕迹。“无极杀手”变种b运行时,会试图关闭大量安全软件的相关进程,并利用注册表映像文件劫持干扰这些程序的正常启动运行。如果其发现系统中运行着特定的安全软件,便会释放恶意驱动程序“%SystemRoot%\system32\drivers\LiTdi.sys”,用以结束安全软件的自我保护。通过自带的弱口令列表尝试对网上邻居进行口令猜解,被成功猜解的系统将会被其感染。“无极杀手”变种b会在可移动存储设备的根目录下创建“recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe”和“autorun.inf”,以此实现通过移动存储设备进行传播的目的。感染计算机中存储的“exe”、“htm”、“html”、“asp”、“aspx”和“rar”格式文件(在网页格式文件中插入挂马脚本“hxxp://mm.aa8856*.cn/index/mm.js”),致使系统用户面临被多次感染的风险。连接骇客指定的站点“hxxp://bbnn7*.114central.com”,下载大量恶意程序并调用运行,从而给用户造成更多的威胁。另外,其会访问骇客指定的页面“hxxp://nbtj.114anhu*.com/msn/163.htm”,以此进行被感染用户的统计。
(8)“灰鸽子二代”及其变种
病毒名称:Backdoor/Hupigon
中 文 名:灰鸽子二代
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
Backdoor/Hupigon“灰鸽子二代”变种病毒是后门家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“灰鸽子二代”变种运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存,文件属性设置为“系统、隐藏、只读、存档”。在系统的指定目录下释放恶意DLL组件文件,并将文件属性设置为“系统、隐藏、只读、存档”。“灰鸽子二代”变种运行时,会将释放出来的恶意DLL组件插入到系统IE浏览器进程“IEXPLORE.EXE”中加载运行(“灰鸽子二代”变种同时将该IE浏览器进程通过HOOK技术设置为隐藏),并在后台执行恶意操作,隐藏自我,防止被查杀。如果被感染的计算机上已安装并启用了防火墙,则该后门会利用防火墙的白名单机制来绕过防火墙的监控,从而达到隐蔽通信的目的。“灰鸽子二代”变种属于反向连接后门程序,会在被感染计算机系统的后台连接骇客指定的远程服务器站点,获取远程控制端真实地址,然后侦听骇客指令,从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能,可以对被感染计算机系统中存储的文件进行任意操作,监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除用户计算机中存放着的机密信息,对用户的信息安全、个人隐私,甚至是商业机密构成了严重的威胁。用户计算机一旦感染了“灰鸽子二代”变种便会变成网络僵尸傀儡主机,骇客利用这些傀儡主机可对指定站点发起DDoS攻击、洪水攻击等。通过在被感染计算机中注册为系统服务的方式来实现后门开机自启动。“灰鸽子二代”变种主安装程序执行完毕后会自我删除,从而达到消除痕迹的目的。