天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“砸波”变种naa

2010-12-20华军资讯佚名

华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。

英文名称:TrojanDropper.Vedio.ea

中文名称:“唯毒”变种ea

病毒长度:28560字节

病毒类型:木马释放器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:9c6290d32bf36368f75404721ca42b8d

特征描述:

TrojanDropper.Vedio.ea“唯毒”变种ea是“唯毒”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“唯毒”变种ea运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意DLL组件“kb289782.gon”,然后将其复制到“%programfiles%\Common Files\system\”文件夹下,重新命名为“kb289782.axe”(文件属性设置为“隐藏、存档”)。将“%SystemRoot%\system32\d3d8thk.dll”重新命名为“d3d8thk.dll.dat”,然后向其中写入恶意代码。调用系统DLL组件“sfc_os.dll”中的5号函数,以此关闭Windows文件保护功能,之后会将“d3d8thk.dll.dat”复制到%SystemRoot%\system32\dllcache\”和“%SystemRoot%\system32\”文件夹下,重新命名为“d3d8thk.dll”。后台遍历当前系统中运行的所有进程,如果发现“360tray.exe”存在,“唯毒”变种ea便会尝试将其强行关闭,从而达到自我保护的目的。“唯毒”变种ea是一个专门盗取“龙之谷”网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。“唯毒”变种ea在安装完成后会释放批处理文件“tempVidio.bat”并调用执行,以此消除痕迹。

英文名称:Trojan/PSW.Frethoq.se

中文名称:“密匪”变种se

病毒长度:21532字节

病毒类型:盗号木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:48428d34ca21ea72a3df203e1cf83975

特征描述:

Trojan/PSW.Frethoq.se“密匪”变种se是“密匪”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“密匪”变种se运行后会在被感染计算机上遍历各个分区,并且在最后一个分区下创建文件夹“RECYCLER”(设置属性为“系统、隐藏”)。之后,会在其中释放恶意DLL组件“KB970608.DLL”,并调用“rundll32.exe”将其运行。“KB970608.DLL”运行后会在当前文件夹下释放恶意驱动程序“KB970609.SYS”,然后将“%SystemRoot%\regedit.exe”复制到“%SystemRoot%\help\”文件夹下,并向其中添加恶意代码。其还会在“%SystemRoot%\help\”文件夹下释放恶意DLL组件“lpk.dll”(属性设置为“系统、隐藏”)。“密匪”变种se是一个专门盗取“诛仙”网络游戏会员账号的木马程序,其会在被感染系统的后台秘密监视当前正在运行的所有应用程序的窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。

英文名称:Trojan/Generic.bedz

中文名称:“通犯”变种bedz

病毒长度:188480字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:afe7dbdff2eeaf2f1cb5601864b3947e

特征描述:

Trojan/Generic.bedz“通犯”变种bedz是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“通犯”变种bedz运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意程序“xvonmt.exe”、恶意批处理程序“jytsmo.bat”和“mcqruds.bat”并调用运行。其会在“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“cnhvm.dll”,在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“stbouj.sys”。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件存在,“通犯”变种bedz便会尝试将其强行关闭,从而达到自我保护的目的。后台连接骇客指定的远程站点“www.p*y.com”,获取恶意程序下载列表,然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。其还会强行设置IE浏览器的主页为“go2*00.cn”、“go2*00.com”、“q*5.com”、“1*8.com”、“3*j.com”中的任意一个,致使用户在开启IE浏览器后自动访问这些站点,从而给骇客带来了非法的经济利益。“通犯”变种bedz在安装完成后会将自身删除,以此消除痕迹。另外,其会通过新建名为“ksdrv”的服务的方式实现开机自启。

英文名称:TrojanSpy.Zbot.naa

中文名称:“砸波”变种naa

病毒长度:96256字节

病毒类型:间谍木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:342038fde7d64a8f1d6137bb186fc910

特征描述:

TrojanSpy.Zbot.naa“砸波”变种naa是“砸波”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“砸波”变种naa运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“sdra64.exe”(文件属性设置为“系统、隐藏、只读、存档”)。“砸波”变种naa运行时,会秘密连接骇客指定的站点“89.149.*.53”,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过“砸波”变种naa完全远程控制被感染的计算机系统,从而给用户的计算机安全、个人隐私甚至是商业机密造成不同程度的侵害。“砸波”变种naa会通过修改被感染系统注册表中现有启动项的方式实现开机自启。

 

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行