天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军资讯病毒播报:警惕“Hosts劫持者”变种d

2011-1-4华军资讯佚名

英文名称:Backdoor/PcClient.qcr

中文名称:“友好客户”变种qcr

病毒长度:202726字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:2178e1ef7564f3b4bda193c8559e855e

特征描述:

Backdoor/PcClient.qcr“友好客户”变种qcr是“友好客户”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“友好客户”变种qcr运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“fnzvuo.dll”,在“%SystemRoot%\system32\”文件夹下释放恶意驱动程序“0005b972.sys”。“友好客户”变种qcr运行时,会将释放的“fnzvuo.dll”插入到被感染系统的“svchost.exe”进程中隐秘运行。后台执行相应的恶意操作,以此隐藏自我,防止被轻易地查杀。“友好客户”变种qcr属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的远程站点“guan*qing.3322.org”,获取客户端的IP地址,然后侦听骇客指令,从而达到被远程控制的目的。该后门具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除用户计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“友好客户”变种qcr的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外,“友好客户”变种qcr会在被感染计算机中注册名为“xlwnrf”的系统服务,以此实现开机自启。

英文名称:Backdoor/Huigezi.xaw

中文名称:“灰鸽子”变种xaw

病毒长度:557568字节

病毒类型:后门

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:a23b7101e2c194b5f028b5cc3a567280

特征描述:

Backdoor/Huigezi.xaw“灰鸽子”变种xaw是“灰鸽子”后门家族中的最新成员之一,采用Delphi语言编写,经过加壳保护处理。“灰鸽子”变种xaw运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”目录下,重新命名为“wded.exe”(文件属性设置为“只读”)。“灰鸽子”变种xaw是一个反向连接后门程序,其会与骇客指定的远程站点“dcl*35.3322.org”进行连接。骇客可通过“灰鸽子”变种xaw完全远程控制被感染系统,从而给系统用户的个人隐私甚至是商业机密造成了不同程度的侵害。另外,“灰鸽子”变种xaw会将自身注册成名为“LanmandeWorkstation”的系统服务,以此实现开机自动运行。

英文名称:Trojan/Genome.fbn

中文名称:“邪恶基因”变种fbn

病毒长度:221184字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:8f20f194b2517230e6dc0ff2893d71d0

特征描述:

Trojan/Genome.fbn“邪恶基因”变种fbn是“邪恶基因”家族中的最新成员之一,采用高级语言编写。“邪恶基因”变种fbn运行时,会在被感染系统的后台连接骇客指定的远程站点,下载“http://08052.80*xp.com:250/11.txt”,根据其中的设置下载各种恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。其还会根据“http://update.q*d.com/qd.jpg”下载“http://qd.q*d.com/QvodSetupPlus.exe”。在被感染系统的后台遍历当前正在运行的所有进程,如果发现某些指定的安全软件存在,“邪恶基因”变种fbn便会尝试将其强行关闭,从而达到自我保护的目的。在系统托盘区域显示假冒的QQ广播图标,以此诱骗被感染系统用户点击。用户点击后便会将其引导至指定的钓鱼站点“http://qq2010*l.info/”,以此实施进一步的诈骗。同时,“邪恶基因”变种fbn还具有设置键盘钩子的功能,从而可以窃取用户的键盘输入,给用户的个人私密信息造成了不同程度的威胁。另外,“邪恶基因”变种fbn会访问指定的URL“www.12*23.cn/Count/count.asp?mac=00c029911b39&xxx=11”,以此对被感染系统进行数量统计。

英文名称:Backdoor/Bifrose.cza

中文名称:“比福洛斯”变种cza

病毒长度:114373字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:43f8037458cb062047e2f5fd87b16138

特征描述:

Backdoor/Bifrose.cza“比福洛斯”变种cza是“比福洛斯”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“比福洛斯”变种cza运行后,会在被感染系统的“C:\WINDOWS\system32”文件夹下释放恶意文件“plugin1.dat”。自我复制到“C:\WINDOWS\system32”文件夹下,重新命名为“SiSUSB2.exe”。创建注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}”,以此实现“C:\WINDOWS\system32\SiSUSB2.exe”的开机自启。另外,还会创建注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Wget\nck”、“HKEY_USERS\S-1-5-21-1844237615-308236825-1801674531-500\Software\Wget\klg”和“HKEY_USERS\S-1-5-21-1844237615-308236825-1801674531-500\Software\Wget\plg1”。创建“iexplorer.exe”进程,并且在后台对10.10.*.10:2000进行访问。另外,其还会通过在被感染系统注册表启动项中添加键值“SiSUSB2”的方式实现“C:\WINDOWS\system32\SiSUSB2.exe”的开机自启。

英文名称:Trojan/WinReg.ae

中文名称:“赢家”变种ae

病毒长度:617580字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:8d6015980c78b68480435f70a1c1472e

特征描述:

Trojan/WinReg.ae“赢家”变种ae是“赢家”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“赢家”变种ae运行后,会在被感染计算机上弹出“setup”对话框,当用户点击安装按钮后,会在“%programfiles%\imetool\”文件夹下创建指定文件“imetool.exe”,在“%programfiles%\Internet Explorer\”文件夹下创建恶意程序“update.exe”。“update.exe”运行后,会自动访问“http://www.v1*8.com/”。“赢家”变种ae是一个广告类的恶意软件,其会在IE收藏夹下创建大量指向不同商业站点的Internet快捷方式,还会在当前桌面上创建Internet快捷方式“淘宝热卖.url”、“淘宝正品商城.url”、“Internet Explorer.url”。另外,其还会在“%USERPROFILE%\Local Settings\Temp\”文件夹下生成注册表项“no.reg”并调用“regedit.exe”来导入,以此将IE浏览器的主页设置为骇客指定站点“http://www.v1*8.com/?16”,从而为其增加了访问量,给骇客带来了非法的经济利益。

英文名称:Trojan/Fakeav.cyb

中文名称:“AV骗子”变种cyb

病毒长度:899072字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:30fd068c31749eaa040eedd7741a6168

特征描述:

Trojan/Fakeav.cyb“AV骗子”变种cyb是“AV骗子”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“AV骗子”变种cyb运行后,会在被感染系统的“c:\documents and settings \administrator\local settings\application data\”文件夹下释放恶意文件“58518.exe”,同时会连接骇客指定的URL“http://188.229.*.163/cb_soft.php?q=e9c73aa7baeeee6542084146ffd2c300”,可能用来对被感染系统进行数量统计。检测当前程序是否被调试,同时还会进行设置键盘钩子、提升权限等行为。弹出窗口“Secutrity Tool successfully installed”,之后会强行扫描被感染的计算机系统,并且弹出系统已被病毒感染的虚假消息,从而给用户造成了不同程度的干扰。“AV骗子”变种cyb在运行完成后会创建批处理文件并以隐藏窗口的形式调用运行,从而达到消除痕迹的目的。

 

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行