天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“恶推客”变种kgu

2010-12-24华军资讯佚名

英文名称:Trojan/Generic.bzns

中文名称:“通犯”变种bzns

病毒长度:67797字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:a9dbe538bc961c099eebabf158146829

特征描述:

Trojan/Generic.bzns是“通犯”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“通犯”变种bzns运行后,会在被感染系统的“%windir%\system32\”和“%temp%\”文件夹下分别释放经过加壳保护的恶意文件“1.ime”、“2.tmp”、“3.dll”、“4.dll”、“5.dll”、“7.tmp”。释放完毕后,其会通过“%temp%\system32\rundll32.exe”调用“1.ime”中的导出函数“Runed”,并且根据当前目标程序来加载相应的DLL文件。其释放的DLL在运行后会创建互斥体“Dnf10False3Answer1”,以此防止被重复感染。在“%ProgramFiles%\Outlook Express\”下创建ini配置文件“oemig60.exe”和“wad.exe”。其中,“omeig60.exe”中记录了系统的物理地址等信息,“wad.exe”中存储的是经过加密的感染参数。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现指定的安全软件例如“TenSafe.exe”、“腾讯游戏木马专杀.exe”、“SGTool.exe”、“DNFchina.exe”、“dnf.exe”存在,便会尝试将其强行关闭,以此达到自我保护的目的。如果发现“360tray.exe”存在便会直接退出运行。后台运行“%windir%\system32\notepad.exe”,并且会将恶意代码注入其中隐秘运行,从而防止被轻易地查杀。创建隐藏窗口,秘密监视用户运行的所有应用程序的窗口标题。一旦发现“QQlogin.exe”进程启动,便会利用遍历窗口、键盘钩子、屏幕截取等技术盗取用户的键盘输入,并且会将窃得的信息发送到骇客指定的站点或邮箱里(地址加密存放),从而给被感染系统用户造成了不同程度的损失。“通犯”变种bzns在运行完毕后会调用其它程序来将自身删除,以此消除痕迹。

英文名称:Trojan/Cossta.vl

中文名称:“科斯塔”变种vl

病毒长度:765952字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:bc461da5a69715b4c701015b5af4d165

特征描述:

Trojan/Cossta.vl“科斯塔”变种vl是“科斯塔”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“科斯塔”变种vl运行后,会自我复制到被感染系统的“%programfiles%\AdobeFlash\”文件夹下,重新命名为“svehcet.exe”。其会在被感染系统的后台连接骇客指定的远程站点“taobao.l*wc.com”,读取配置文件“startmenuname.txt”和“other.txt”,然后根据其中的设置在被感染计算机的“%USERPROFILE%\Local Settings\Temp\”文件夹下创建文件“other.ini”和“ver_1.ini”。下载指定恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的侵害。另外,其会在开始菜单“启动”文件夹下添加名为“毒霸金山”和“木马免疫”的假冒快捷方式(指向自身副本“svehcet.exe”),以此实现开机自动运行。

英文名称:Backdoor/PcClient.ajbr

中文名称:“友好客户”变种ajbr

病毒长度:156460字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:90170f83d0ef0495e0c96b2e208997d2

特征描述:

Backdoor/PcClient.ajbr“友好客户”变种ajbr是“友好客户”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“友好客户”变种ajbr运行后,会在被感染系统的“%programfiles%\”文件夹下释放恶意DLL组件“wi1414609nd.temp”,然后会将其移动到“%SystemRoot%\Temp\”文件夹下,重新命名为“0144647”。其会继续移动“0144647”到“%SystemRoot%\system32\”文件夹下,重新命名为“Rundlla.dll”。之后,其会通过命令行“rundll32.exe Rundlla.dll, CodeMain lpServiceName”调用运行“Rundlla.dll”。创建注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rat\ConnectGroup”,并且会将自身复制到被感染系统的“%ALLUSERSPROFILE%\「开始」菜单\程序\启动\”文件夹下,重新命名为“360SD.EXE”。“友好客户”变种ajbr运行时,会秘密连接骇客指定的站点“10*004.3322.org”,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过“友好客户”变种ajbr完全远程控制被感染的计算机系统,致使系统用户的个人隐私甚至是商业机密面临着严重的侵害。另外,“友好客户”变种ajbr会在被感染系统“启动”文件夹中创建病毒文件,以此实现开机自动运行。

英文名称:Trojan/Pincav.kgu

中文名称:“恶推客”变种kgu

病毒长度:90112字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:8181973db6fa806f85ff82e3686b3d36

特征描述:

Trojan/Pincav.kgu“恶推客”变种kgu是“恶推客”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“恶推客”变种kgu运行后,会自我复制到被感染系统的“%USERPROFILE%\Application Data\”文件夹下,重新命名为“ohydy.exe”(文件属性设置为“系统、隐藏、只读”)。“恶推客”变种kgu属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的远程站点“ff.fj*rk.com”、“ff.fifa2*2terra.com”、“ff.conv*ter50.com”、“ff.tec*om.com”,获取客户端的IP地址,侦听骇客指令,从而达到被远程控制的目的。该木马具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染了“恶推客”变种kgu的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外,“恶推客”变种kgu会在被感染系统注册表启动项中添加键值,以此实现开机自启。

英文名称:Trojan/PSW.Frethoq.qe

中文名称:“密匪”变种qe

病毒长度:45392字节

病毒类型:盗号木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:9f8608f013307ad538563b83fdd99e8f

特征描述:

Trojan/PSW.Frethoq.qe“密匪”变种qe是“密匪”家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件。在被感染系统的后台遍历当前正在运行的所有进程,如果发现某些指定的安全软件存在,“密匪”变种qe便会尝试将其强行关闭,以此达到自我保护的目的。“密匪”变种qe运行时,会调用系统组件“sfc_os.dll”中的5号函数,以此关闭Windows文件保护功能。将“%SystemRoot%\system32\wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“tmp1.tmp”,然后会向其中添加恶意代码。将“wininet.dll”移动到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“tmp2.tmp”。将“tmp1.tmp”复制到“%SystemRoot%\system32\”文件夹下,重新命名为“wininet.dll”,以此实现系统文件的替换。“密匪”变种qe是一个专门盗取“地下城与勇士”网络游戏会员账号的木马程序,其会在被感染系统的后台秘密监视当前正在运行的所有应用程序的窗口标题。一旦发现指定的程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。

英文名称:Backdoor/Cinkel.bh

中文名称:“私客”变种bh

病毒长度:122880字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:85c9b6070ec94594c01e6a23acf0b656

特征描述:

Backdoor/Cinkel.bh“私客”变种bh是“私客”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写。“私客”变种bh运行后,会自我复制到被感染系统的“%SystemRoot%\Winpows Publvpz\ ”和“%SystemRoot%\Winpows Publvpzl\”文件夹下,重新命名为“services.exe”。在被感染系统的后台访问站点“www.ip138.com”,并且会将被感染系统的IP地址保存在“%SystemRoot%\wnd32.txt”中。后台访问骇客指定的站点“www.baidu.com”、“vip.976.cc”、“www.9495.com”、“www.bitauto.com ”、“www.pconline.com.cn”、“www.yj518.com”、“code.soua.com”、“www.ku22.net”,以此增加这些网站的访问量,给骇客带来了非法的经济利益。“私客”变种bh访问网络时,会将恶意代码注入到“explorer.exe”进程中隐秘运行。如果被感染系统中安装并开启了防火墙,便会尝试利用白名单机制来绕过防火墙的监控,从而达到了隐蔽通信的目的。另外,“私客”变种bh会在开始菜单“启动”文件夹中添加名为“des.lst”的快捷方式(指向自身副本“services.exe”),以此实现开机自动运行。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行