天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“网银窃贼”变种rho

2011-2-23华军资讯佚名

华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。另外在此提醒您,及时更新病毒库和为系统打上最新补丁对于保护电脑安全非常重要,建议定期更新杀软病毒库,关注安全漏洞新闻。

英文名称:Backdoor/Inject.vv

中文名称:“植木马器”变种vv

病毒长度:117248字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:bae575fdee4c4457275d8031e16e6042

特征描述:

Backdoor/Inject.vv“植木马器”变种vv是“植木马器”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“植木马器”变种vv运行后,会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“TS.html”。在被感染系统“%programfiles%\NVIDIA\”文件夹下释放恶意DLL组件“IFGntEx.Dll”和“NVIDIA.OLE”,还会将“%programfiles%\NVIDIA\”文件夹设置为“隐藏”属性。“植木马器”变种vv属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的远程服务器站点“libai*3264.gicp.net”,获取客户端IP地址,然后侦听骇客指令,从而达到被远程控制的目的。该后门具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除用户计算机中存放着的机密信息,从而对用户的信息安全、个人隐私甚至是商业机密构成严重的威胁。感染“植木马器”变种vv的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外,其会篡改系统服务“W32Time”以实现开机自启。

英文名称:Trojan/Generic.cwnb

中文名称:“通犯”变种cwnb

病毒长度:70947字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:6db84778bfeb9211b2ea6085f9672cba

特征描述:

Trojan/Generic.cwnb“通犯”变种cwnb是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“通犯”变种cwnb运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“ishuqq.exe”。“通犯”变种cwnb属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的远程站点“m*ddos.3322.org”,获取客户端IP地址,然后侦听骇客指令,从而达到被远程控制的目的。利用该后门骇客可以查看、窃取系统用户的个人私密信息,还可以将被感染系统当作傀儡主机用以攻击其它计算机系统,从而对系统用户和互联网安全构成了严重的威胁。“通犯”变种cwnb的原病毒程序在运行完成后会将自身删除,以此消除痕迹。另外,其会注册名为“XieZutdg”的系统服务,以此实现开机自启。

英文名称:Trojan/PSW.Kykymber.kt

中文名称:“密室大盗”变种kt

病毒长度:55128字节

病毒类型:盗号木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:09e29f747102f1b8c74648f8a74e9dd1

特征描述:

Trojan/PSW.Kykymber.kt“密室大盗”变种kt是“密室大盗”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,是一个由其它恶意程序释放的DLL文件,经过加壳保护处理。“密室大盗”变种kt运行后,会首先判断自身是否被注入到“ctfmon.exe”进程中,如果不是则退出运行。调用系统DLL组件“sfc_os.dll”中的5号函数,以此关闭Windows文件保护功能。将被感染系统“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下的“d3d8.dll”重新命名为“dsound.dll.PDPD”,将“%SystemRoot%\system32\”文件夹下含有恶意代码的“d3d8.dll.dat”分别复制到“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下,从而实现系统DLL文件“d3d8.dll”的替换。后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件存在,“密室大盗”变种kt便会尝试将其强行关闭,从而达到自我保护的目的。“密室大盗”变种kt是一个专门盗取“诛仙”网络游戏会员账号的木马程序,其会在被感染系统的后台秘密监视系统中运行的所有应用程序的窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。

英文名称:TrojanDownloader.FlyStudio.boe

中文名称:“苍蝇贼”变种boe

病毒长度:1253075字节

病毒类型:木马下载器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:f88ce75fc7249873f5e3caccafd43384

特征描述:

TrojanDownloader.FlyStudio.boe“苍蝇贼”变种boe是“苍蝇贼”家族中的最新成员之一,采用“易语言”编写。“苍蝇贼”变种boe运行后,会自我复制到被感染系统的“C:\WINDOWS\system32\7605C6”文件夹下,重新命名为“74BE16.EXE”。在开始菜单“启动”文件夹下添加名为“FEBC97”的快捷方式(指向自身副本),以此实现开机自动运行。在被感染系统的“C:\WINDOWS\system32\E7301A”和“C:\Documents and Settings\Administrator\Local Settings\TempE_N4”文件夹下分别释放e语言运行库“cnvpe.fne”、“fp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fne”、“RegEx.fne”、“shell.fne”、“spec.fne”。在“c:\WINDOWS\system32”下创建空目录493882、970E43,用于记录某些数据。其会秘密搜集被感染系统中的指定数据,并会将窃得的信息发送到骇客指定的远程站点,从而给用户造成了不同程度的损失。其还会从骇客指定的远程站点下载恶意程序并自动调用运行,致使用户面临更多的威胁。另外,“苍蝇贼”变种boe可通过U盘进行传播。

英文名称:Trojan/Pincav.eyk

中文名称:“恶推客”变种eyk

病毒长度:225280字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:d1932d1c2ff836907cbbd56706451dc6

特征描述:

Trojan/Pincav.eyk“恶推客”变种eyk是“恶推客”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“恶推客”变种eyk运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\IXP000.TMP\”文件夹下释放恶意文件“QVODU~1.EXE”和“QVODSE~1.EXE”。恶意程序“QVODU~1.EXE”运行后,会在被感染系统的后台连接骇客指定的远程站点“rz12.7*182.com:8080/rz12/d.txt”,获取恶意程序下载列表,下载指定的恶意程序“system.exe”、“dvf.dll”、“ote.dll”到“%SystemRoot%\system32\”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。恶意程序“QVODSE~1.EXE”运行时,会修改防火墙规则,连接快播QVOD站点“qd.qvod.com”,下载程序“QvodSetupPlus.exe”进行强制安装。“恶推客”变种eyk在被感染系统中安装完成后,会将病毒自身的安装程序删除,从而达到消除痕迹的目的。另外,“恶推客”变种eyk会在被感染系统注册表启动项中添加键值“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0”,以此实现开机自启。

英文名称:Trojan/Generic.cwxj

中文名称:“通犯”变种cwxj

病毒长度:52736字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:6726868943153475f9499ba5beb4b80e

特征描述:

Trojan/Generic.cwxj“通犯”变种cwxj是“通犯”家族中的最新成员之一,采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“通犯”变种cwxj运行后,会将被感染系统“%SystemRoot%\system32\”文件夹下的DLL组件“wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“D.tmp”,然后加载“D.tmp”访问网络。后台连接骇客指定的远程站点“exe.ag*8.com:8080/cbnsc/”,获取恶意程序下载列表,下载指定的恶意程序01.jpg、02.jpg等并自动调用运行。后台连接骇客指定的远程站点“e11.c*95.com:8080/rx11/”,下载恶意程序“sc.png”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。其下载的恶意程序会通过修改注册表启动项的方式实现开机自启,还可通过U盘来达到自身传播的目的。

英文名称:Trojan/Banker.Banker.rho

中文名称:“网银窃贼”变种rho

病毒长度:39936字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:21ca3b09c1e80d0eac22803015cc0d03

特征描述:

Trojan/Banker.Banker.rho“网银窃贼”变种rho是“网银窃贼”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,经过加壳保护处理。“网银窃贼”变种rho运行后,会判断“%SystemRoot%\system32\drivers\”目录下是否存在hgfs.sys、prleth.sys、vmhgfs.sys。其中,hgfs.sys为VMware Tools的驱动文件,如发现存在该驱动文件则调用函数结束线程致使VMware虚拟机蓝屏,从而防止在虚拟机中运行此病毒。尝试获取DBGHELP.DLL(Ollydbg调试器动态链接库文件)、sbieDll.dll(沙盘动态链接库文件)句柄,判断自身是否处于被调试状态,如果发现被调试则会强行干扰调试过程。查找注册表“HKLM\HARDWARE\Description\System\SystemBiosVersion\VBOX”的键值是否为“55274-640-1532467-23148”,如果找到该值则会退出自身进程。“网银窃贼”变种rho运行时,会将恶意代码插入到系统桌面程序“explorer.exe”进程中隐秘运行。后台执行恶意操作,隐藏自我,防止被轻易地查杀。在被感染系统的后台连接骇客指定的远程站点“ your*ray.ru”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行