天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“砸波”变种naa

2010-12-20华军资讯佚名

英文名称:Backdoor/Trup.bd

中文名称:“逃犯”变种bd

病毒长度:39424字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:d5018e6a6e64638d501358a791f01003

特征描述:

Backdoor/Trup.bd“逃犯”变种bd是“逃犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“逃犯”变种bd运行后,会遍历被感染系统中运行的所有进程,如果发现“DSMain.exe”存在则退出运行。获取当前所在的目录,然后自我复制为“228.tmp”(文件属性设置为“系统、隐藏”)。在被感染计算机的系统盘根目录下释放恶意程序“alh.exe”并调用运行。该程序运行后,会在被感染计算机的“%SystemRoot%\”文件夹下释放配置文件“VB.ini”和“VC.ini”,还会在“%SystemRoot%\system32\”文件夹下释放图标文件“tbhdz.ico”。“逃犯”变种bd会根据配置文件“VC.ini”中的内容屏蔽许多网站,致使用户无法访问这些站点,从而降低了这些网站的访问量。还会在被感染计算机上定时弹出恶意广告网页,给用户造成了不同程度的干扰。从骇客指定站点下载恶意程序并自动调用运行,致使用户面临不同程度的威胁。另外,其还会在桌面上创建快捷方式“InternetExplorer.SE”和“淘宝网.JE”,这些快捷方式会将被感染系统用户诱骗至指定站点,从而给骇客带来了非法的经济利益。同时,“逃犯”变种bd还会修改“隐藏文件和文件夹”选项中的“不显示隐藏的文件和文件夹”属性和“隐藏已知文件类型的扩展名”属性,从而增强自身的隐蔽性。

英文名称:TrojanDownloader.Mufanom.mbb

中文名称:“魔法木马”变种mbb

病毒长度:75776字节

病毒类型:木马下载器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:a0a2c19c7e3f84ae4ef93174dcd292a4

特征描述:

TrojanDownloader.Mufanom.mbb“魔法木马”变种mbb是“魔法木马”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“魔法木马”变种mbb运行后,会在被感染系统的“%SystemRoot%\”文件夹下释放恶意DLL组件“oerteres.dll”,同时设置其“创建时间”、“修改时间”为当前系统的安装日期,以此迷惑用户,达到更好的隐藏效果。之后,其会调用rundll32.exe执行释放的DLL文件。在被感染系统的后台连接骇客指定的远程站点,下载恶意程序并自动调用运行。这些恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。另外,“魔法木马”变种mbb会在被感染系统注册表启动项中添加键值,以此实现开机自启。

英文名称:Backdoor/RBot.sec

中文名称:“罗伯特”变种sec

病毒长度:442368字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:f6b18a6642d1b5b87d3b61e3c26b882d

特征描述:

Backdoor/RBot.sec“罗伯特”变种sec是“罗伯特”家族中的最新成员之一,采用COM技术编写,经过加壳保护处理。“罗伯特”变种sec运行后,会在“HKEY_CURRENT_USER\software\bnwork\settings\previewpages”下记录病毒感染信息。设置键盘鼠标钩子,并且监视IE浏览器窗口。后台开启远程访问等服务,还会弹出内容为“请执行主程序”的对话框。在被感染计算机系统的后台用POST方法连接骇客指定的URL“bnflow.zajindan.com/bnflow/ds/connect.php?/a=bn2”,获取恶意程序下载列表,然后从指定的站点例如“www.sll*j4.cn”、“www.alli*ge.com.cn”、“www.5*a.com”、“gg0*87.cn”、“mm9*60.cn”、“3322.org”、“61.160.*.80”、“as*aa.cn”、“ptp*ever.net”、“c1*2c.cn”、“nach*as.cn”、“8866.org”等下载恶意程序并自动调用运行。其所下载的文件可能为网络游戏盗号木马、远程控制后门等,会对被感染系统用户造成更多的威胁。

英文名称:Trojan/Swisyn.oha

中文名称:“广告徒”变种oha

病毒长度:44544字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:5ced39e13de6327bbfef13c4c18706d2

特征描述:

Trojan/Swisyn.oha“广告徒”变种oha是“广告徒”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“广告徒”变种oha运行后,会自我复制到被感染系统的“%SystemRoot%\”文件夹下,重新命名为“Gt.exe”,以此实现开机自启。“广告徒”变种oha运行时,会在被感染系统的后台定时访问指定的恶意站点“web.heisell.com/AddSetup.asp?”,以此对被感染系统进行数量统计。检测当前系统中是否运行着腾讯QQ,如果发现则弹出虚假中奖信息,以此诱骗用户点击。当用户点击这些信息后,会自动访问骇客指定的站点“http://qq2*0lo.info/”,从而可能给用户带来更多的威胁,例如遭受网络诈骗或网页木马等的侵害。其还会在被感染计算机的后台秘密窃取当前系统的配置信息,然后从骇客指定的远程站点“ip213.com:2010/ip.asp”下载恶意程序并调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行