华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。
英文名称:Packed.Klone.hmc
中文名称:“克隆先生”变种hmc
病毒长度:178176字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:ab7103666a7016771ad7eedf042bf278
特征描述:
Packed.Klone.hmc“克隆先生”变种hmc是“克隆先生”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“克隆先生”变种hmc运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“mgking0.dll”、“arking0.dll”以及恶意文件“arking.exe”,还会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“mgking0.exe”。以上文件的属性会被设置为“系统、隐藏、只读”。“克隆先生”变种hmc运行时,会将恶意代码插入到系统桌面程序“explorer.exe”进程中隐秘运行,同时在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。其会通过尝试恢复系统服务描述表(SSDT)的方式试图破坏被感染系统中安全软件的自我保护、系统监视、主动防御等功能,严重影响了这些软件的正常运行,给用户造成了更多的威胁。其还会自动模拟点击某安全软件弹出窗口中的“跳过”和“允许”按钮,以此达到绕过监控的目的。在被感染系统的后台连接骇客指定的远程站点,下载指定的恶意程序并自动调用运行。其所下载的恶意软件可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。另外,“克隆先生”变种hmc会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。
英文名称:Trojan/PSW.Frethoq.mc
中文名称:“密匪”变种mc
病毒长度:19268字节
病毒类型:盗号木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:852d14736d6eaa01b3f0f59f5d62cb95
特征描述:
Trojan/PSW.Frethoq.mc“密匪”变种mc是“密匪”家族中的最新成员之一,采用高级语言编写。“密匪”变种mc运行后,会自我复制到被感染计算机系统盘根目录的“RECYCLER”文件夹下,重新命名为“1736609.tmp”。“密匪”变种mc是一个专门盗取“龙之谷Online”网络游戏会员账号的木马程序,其会秘密监视用户系统中正在运行的所有进程。如果发现网络游戏进程“DragonNest.exe”存在,则会利用安装消息钩子、内存截取、伪装游戏登陆窗口等方式盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“密匪”变种mc会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。
英文名称:Trojan/Scar.fko
中文名称:“毒疤”变种fko
病毒长度:129536字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:4638c9605fe1a83bf8d3f02b396374d6
特征描述:
Trojan/Scar.fko“毒疤”变种fko是“毒疤”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“毒疤”变种fko运行后,会创建名为“SeBebugPrivilege”的互斥体,防止重复运行。在被感染系统的“%windir%\system32”文件夹下释放经过加壳保护的恶意DLL组件,创建隐藏进程,并且运行DLL中的导出函数exbcute。将“%windir%\system32\wininet.dll”复制为“C:\docume~1\admini~1\locals~1\temp\1.tmp”并加载运行。同时,还会从“e*3.zhenghetai.com:8080”下载各种恶意文件到“%windir%\system32”下并调用运行。exbcute函数会在“%ProgramFiles%\AAV\”下释放恶意驱动程序CDriver.sys,同时创建名为“aav”的服务。其还会终止并删除名为“WinDefend”、“MpsSv”、“ZhongDongFangYu”和“360rp”的服务。后台遍历所有进程,如果发现指定的安全软件存在,便会尝试将其结束。如果发现有进程加载了safemon.dll,就会强行卸载该模块。该函数运行完毕后,会将服务“aav”、文件“CDriver.sys”和文件夹“%ProgramFiles%\AAV\”删除。“毒疤”变种fko还可能会利用“Rootkit”等高级技术来隐藏自我,防止被轻易地查杀。另外,“毒疤”变种fko会将自身复制成“%windir%\system32\system.exe”,并且通过在注册表启动项中添加键值的方式实现开机自启。
英文名称:Backdoor/Cinkel.bg
中文名称:“私客”变种bg
病毒长度:124089字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验:288dd1ab69c985f759866f9e364e1d5f
特征描述:
Backdoor/Cinkel.bg“私客”变种bg是“私客”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写。“私客”变种bg运行后,会自我复制到被感染系统的“%SystemRoot%\Winpows Publpju\ ”和“%SystemRoot%\Winpows Publpjua\”文件夹下,重新命名为“services.exe”。其会将被感染系统的IP地址保存在“%SystemRoot%\wnd32.txt”中,还会自动对指定的站点进行访问,从而为这些站点增加了访问量,给骇客带来了非法的经济利益。“私客”变种bg访问网络时,会将恶意代码注入到“explorer.exe”中隐秘运行。如果被感染的计算机上已安装并启用了防火墙,则会尝试利用防火墙的白名单机制绕过其监控,从而达到隐蔽通信的目的。另外,其会在开始菜单“启动”文件夹中添加名为“des.lst”的快捷方式来实现开机自启。
英文名称:TrojanDropper.StartPage.nl
中文名称:“初始页”变种nl
病毒长度:122368字节
病毒类型:木马释放器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:db9fe542a7dca9fdbc9811090d48be45
特征描述:
TrojanDropper.StartPage.nl“初始页”变种nl是“初始页”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“初始页”变种nl运行后,会在被感染计算机系统盘下的“Downloads\201012141627\”文件夹下释放VBS脚本文件“ydkpo.vbs”,在“%SystemRoot%\201012141626\”文件夹下释放恶意程序“smss.exe”,在“%SystemRoot%\201012141627\”文件夹下释放恶意程序“wmipr.exe”,还会在“%SystemRoot%\”文件夹下创建“t.ico”、“tao.ico”以及“aqpetk.vbs”。“初始页”变种nl运行时,会在被感染系统的后台连接骇客指定的远程站点“tongji.y*u8.com/api/work.aspx?”,以此对被感染系统进行数量统计。在被感染计算机上定时弹出恶意广告网页,从而给系统用户造成了不同程度的干扰。强行设置IE浏览器的默认主页为“http://www.daohang1234.com/?my=158”,致使用户在运行浏览器后便会自动连接至该站点,从而为其增加了访问量,给骇客带来了非法的经济利益。其还会在桌面上创建垃圾快捷方式“Interne.tt”、“特价购物.bt”,从而诱骗用户访问指定的站点。“初始页”变种nl在运行完成后,会创建批处理文件“del.bat”并在后台调用运行,以此将自身删除。
英文名称:Trojan/Invader.aek
中文名称:“入侵者”变种aek
病毒长度:79872字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:a5796381d67fd2fa00c592e4a047b0df
特征描述:
Trojan/Invader.aek“入侵者”变种aek是“入侵者”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“入侵者”变种aek运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意DLL组件“2884203.dll”,之后会将其注入到“explorer.exe”中隐秘运行。在后台执行恶意操作,以此隐藏自我,以防止被轻易地查杀。在被感染系统的后台连接骇客指定的远程站点“log.y*z.info”,下载恶意程序“icon.jpg”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“入侵者”变种aek会在被感染系统注册表启动项中添加键值,以此实现开机自启。
本文来源:华军资讯 作者:佚名