英文名称:Trojan/BAT.vd
中文名称:“毒蝙蝠”变种vd
病毒长度:70144字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:44b11ab301ce03a34c0b3c241d9e4790
特征描述:
Trojan/BAT.vd“毒蝙蝠”变种vd是“毒蝙蝠”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“毒蝙蝠”变种vd运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意批处理程序“win32.bat”和图标文件“bd.ico”、“gg.ico”,还会在“D:\soft\bat\v13\”目录下释放恶意程序“winnt32.exe”,之后会执行批处理程序“win32.bat”。其会利用映像劫持技术(IFEO)来屏蔽“360sd.exe”、“360Safe.exe”、“QQdoctorRtp.exe”等安全软件,并且通过执行命令行“taskkill /f /im 360sd.exe”、“taskkill /f /im 360tray.exe”、“taskkill /f /im QQdoctorRtp.exe ”和“wmic process where name="QQdoctorRtp.exe" delete”的方式结束指定的安全软件。在被感染系统的后台秘密监视用户的键盘和鼠标操作,窃取用户输入的机密信息,并在后台将窃得的信息发送到骇客指定的远程站点“125.64.*.110”,从而给被感染系统用户造成不同程度的损失。强行向“hosts”中添加“search.114.vnet.cn”、“114.vnet.cn”、“www.114.com.cn”、“www.vnet.cn”、“www.2345.com”、“www.9991.com”、“www.930930.com”、“www.qq5.com”、“www.baidu.com”、“www.hao123.cn”、“hao123.cn”、“www.cctv.net”、“g.cn”、“www.g.cn”、“b.cn”,从而阻止用户对上述站点进行访问。将“D:\soft\bat\v13\winnt32.exe”复制到“%SystemRoot%\repair\”下,并且重新命名为“svchost.exe”,之后会将其复制到“%SystemRoot%\system32\1025\”、“%SystemRoot%\Config\shell\”和“%SystemRoot%\SYSTEM\”文件夹下,分别重新命名为“notepad.exe”、“lsass.exe”和“360shell.exe”。“毒蝙蝠”变种vd还会在IE收藏夹以及桌面上创建快捷方式“Google搜索.url”、“Baidu搜索.url”、“网站导航.url”,从而诱骗用户对指定站点进行访问,以此给骇客带来非法的经济利益。另外,“毒蝙蝠”变种vd会在被感染系统注册表启动项中添加键值以及创建任务计划,以此实现开机自启。
英文名称:Backdoor/PcClient.aihb
中文名称:“友好客户”变种aihb
病毒长度:62976字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:9e6638f8c7d073e4758ce23a36e550d1
特征描述:
Backdoor/PcClient.aihb“友好客户”变种aihb是“友好客户”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“友好客户”变种aihb运行后,会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“UR32.LOG”,还会在“%programfiles%\NVIDIA\”文件夹下释放恶意DLL组件“UVntEx.OLE”。“友好客户”变种aihb运行时,会将“UVntEx.OLE”插入到被感染系统的“explorer.exe”和“winlogon.exe”进程中隐秘运行,从而防止被轻易地查杀。秘密连接骇客指定的远程站点“wq5*520.3322.org”,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过“友好客户”变种aihb完全远程控制被感染的计算机系统,从而给被感染系统用户的个人隐私甚至是商业机密造成不同程度的损失。
英文名称:Backdoor/Inject.uz
中文名称:“植木马器”变种uz
病毒长度:210663字节
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:8d55b116a6dbf61f121049546724018d
特征描述:
Backdoor/Inject.uz“植木马器”变种uz是“植木马器”家族中的最新成员之一,采用高级语言编写。“植木马器”变种uz运行后,会创建互斥体“AAAAAAhouIp4aPiqeNj6eGj4azjoqNjZk=”以防止自身重复运行。在被感染系统的“c:\Program Files”文件夹下释放经过加密保护的恶意DLL组件“wi8126484nd.temp”,之后会将其移动并重新命名为“c:\WINDOWS\TEMP\hx107.tmp”。将“rundll32.exe”复制为“c:\Program Files\Internet Explorer\carss.exe”,并且以隐藏窗口的形式加载并运行。“carss.exe”则会将恶意代码插入到“explorer.exe”等几乎所有的进程中隐秘运行。后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件存在,便会尝试将其强行关闭,从而达到自我保护的目的。如果没有这些安全软件存在,便会频繁地在“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\”和“C:\Documents and Settings\All Users\「开始」菜单\statrup\”中复制自身。监控系统的鼠标键盘消息,同时对指定游戏的窗口(例如梦幻西游、大明龙权、地下城与勇士、大话西游、魔兽世界等)进行截屏处理,从而伺机盗取这些网游的账号信息。另外,“植木马器”变种uz会强行创建注册表服务项“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rat”,以此实现指定恶意程序的开机自启。
英文名称:Trojan/Genome.esx
中文名称:“邪恶基因”变种esx
病毒长度:22785字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:28c7312566027028dae933717a71ed69
特征描述:
Trojan/Genome.esx“邪恶基因”变种esx是“邪恶基因”家族中的最新成员之一,是一个采用高级语言编写的恶意驱动程序。“邪恶基因”变种esx运行后,会创建驱动“\Device\ntlsdb404”以及符号链接“\DosDevices\ntlsdb404”。利用内核级“SSDT HOOK”技术挂钩系统服务描述表中的ZwCreateFile、ZwOpenFile、ZwQueryDirectoryFile、ZwCreateKey、ZwOpenKey、ZwQuerySystemInformation等关键函数,从而监控其它程序的行为,增强了自我保护。监控指定进程,例如pnphelper.exe、mshta.exe、MC.exe、syshelper.exe、sservices.exe、ssvchost.exe、system、winlogon.exe、spoolss.exe等的操作,此举可能是为了对上述进程进行保护(这些都是仿冒成系统文件的其它病毒)。“邪恶基因”变种esx属于某病毒中的功能模块,因此被感染系统中还会存在其它的恶意程序。由于“邪恶基因”变种esx还会利用“Rootkit”等高级技术进行自我隐藏,因此其很难被常规杀软删除,从而给被感染系统用户造成了更大的威胁和侵害。
本文来源:华军资讯 作者:佚名