天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“网银窃贼”变种rho

2011-2-23华军资讯佚名

英文名称:Trojan/Scar.gih

中文名称:“毒疤”变种gih

病毒长度:91136字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:3d3a96e3620fed0b2e65447ecebee062

特征描述:

Trojan/Scar.gih“毒疤”变种gih是“毒疤”家族中的最新成员之一,采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“毒疤”变种gih运行后,会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Temp\”和“%APPDATA%\”文件夹下,重新命名为“mstsc.exe”。还会在“%APPDATA%\Microsoft\”文件夹下释放恶意程序“comrepl.exe”,在“%SystemRoot%\system32\drivers\”文件夹下释放“esentutl.exe”。执行命令“%APPDATA%\Microsoft\comrepl.exe/waitservice”来启动恶意程序“comrepl.exe”。“毒疤”变种gih运行时,会在被感染系统的后台连接骇客指定的URL“www.kad*p.com/img/gt.cgi?s=3028995892&r=jcvc”,可能是对被感染系统进行数量统计。后台定时访问指定的恶意站点“ad.ope*ags.org”,以此提高这些网站的访问量(网络排名),给骇客带来了非法的经济利益,还会严重地影响和干扰用户的正常操作。另外,“毒疤”变种gih会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。

英文名称:Trojan/Scar.gbr

中文名称:“毒疤”变种gbr

病毒长度:87552字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:95d0eb93e8270d57e774ca7ae202acfc

特征描述:

Trojan/Scar.gbr“毒疤”变种gbr是“毒疤”家族中的最新成员之一,采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“毒疤”变种gbr运行后,会自我复制到被感染系统“%USERPROFILE%\Local Settings\Application Data\Microsoft\”、“%SystemRoot%\”、“%SystemRoot%\system\”等文件夹下,重新命名为“sessmgr.exe”、“comrepl.exe”、“ieudinit.exe”、“logman.exe”。执行命令“%SystemRoot%\system\logman.exe/waitservice”,以此启动恶意程序“logman.exe”。“毒疤”变种gbr运行时,会在被感染系统的后台连接骇客指定的URL“www.ka*ap.com/img/gt.cgi?s=3028995892&r=jcvc”,可能是为了对被感染系统进行数量统计。在被感染系统的后台定时访问指定的站点“ad.open*gs.org”,以此提高这些网站的访问量(网络排名),给骇客带来了非法的经济利益。另外,“毒疤”变种gbr会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。

英文名称:Trojan/Generic.dbpz

中文名称:“通犯”变种dbpz

病毒长度:154130字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:8511d70393705bc274e83b2d6f20cfec

特征描述:

Trojan/Generic.dbpz“通犯”变种dbpz是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“通犯”变种dbpz运行后,会在被感染系统的“%programfiles%\Common Files\”文件夹下释放恶意DLL组件“lanmao.dll”和“loader.dll”。后台连接骇客指定的站点“http://121.14.*.219:9091/”、“http://bo*gqi.6gg.cn/”、“http://www.xun*100.com/msn/software/partner/s/”、“http://download.l*a.cn/GAME/36/”、“http://www.xu*100.com/youbak/software/partner/9010/”,下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。秘密连接骇客指定的服务器“gtsz*cd.gicp.net”,侦听骇客指令,在被感染的计算机上执行相应的恶意操作。骇客可通过“通犯”变种dbpz完全远程控制被感染的计算机系统,致使系统用户的个人隐私面临着严重的威胁。“通犯”变种dbpz的主程序在执行完毕后会将自身删除,从而达到消除痕迹的目的。另外,其会创建名为“T1Crr6fX&”的服务,以此实现开机自启。

英文名称:Trojan/Pincav.lmz

中文名称:“恶推客”变种lmz

病毒长度:40960字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:f07bda38245f0145a07fc08bd49190a2

特征描述:

Trojan/Pincav.lmz“恶推客”变种lmz是“恶推客”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“恶推客”变种lmz运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“ggdrive32.exe”并调用运行。“恶推客”变种lmz会在被感染系统的“%USERPROFILE%\”文件夹下释放恶意文件“bnet.exe”和“serv.exe”,并将“bnet.exe”复制到系统盘的“\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\”文件夹下,重新命名为“syitm.exe”。在系统盘根目录和“\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\”文件夹下分别释放恶意文件“xdx.exe”和“acleaner.exe”。在被感染计算机的后台秘密窃取系统配置信息,然后从指定的远程站点“http://www.ni*on.to/cgi-bin/prxjdg.cgi”、“http://two.nat*aoi.com/”、“http://one.natn*aoi.com/”、“http://xppc*girl.com/udv.exe”下载恶意程序并调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。秘密连接骇客指定的IP“60.190.*.125”,侦听骇客指令,在被感染的计算机上执行相应的恶意操作。攻击者可通过“恶推客”变种lmz完全远程控制被感染的计算机系统,致使用户的个人隐私面临着严重的威胁。另外,“恶推客”变种lmz会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。

英文名称:TrojanDownloader.Generic.dcy

中文名称:“通犯”变种dcy

病毒长度:206866字节

病毒类型:木马下载器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:56ecc3afb3d5300f6dc11c5ae3464aa8

特征描述:

TrojanDownloader.Generic.dcy“通犯”变种dcy是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“通犯”变种dcy运行后,会在被感染系统的“%SystemRoot%\”文件夹下释放恶意DLL组件“fxsst.dll”。在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“cdf1912.tmp”、“inl3.tmp”“favorites_url.cab”并自动调用执行,还会自动下载“看看网络电视”并安装。在桌面和收藏夹中创建Internet快捷方式“八卦色图”、“美女乐园欢”、“淘宝购物”、“团购之家”,从而诱导用户访问指定的站点。在被感染系统中定时弹出广告网页或广告条窗口,给骇客带来了非法的经济收益。另外,“通犯”变种dcy会在被感染系统注册表启动项中添加键值,以此实现开机自启。

英文名称:Trojan/Buzus.tey

中文名称:“霸族”变种tey

病毒长度:387584字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:224faa69ca072344ea29518ee79d95cc

特征描述:

Trojan/Buzus.tey“霸族”变种tey是“霸族”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“霸族”变种tey运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意DLL组件“kb056168.sve”,然后将其复制到“%programfiles%\Common Files\system\”文件夹下,重新命名为“kb056168.dla”(文件属性设置为“隐藏、存档”)。其会将“%SystemRoot%\system32\dsound.dll”重新命名为“dsound.dll.dat”,然后向其中添加恶意代码。调用系统DLL组件“sfc_os.dll”中的5号函数,以此关闭Windows文件保护功能。将“%SystemRoot%\system32\dllcache\dsound.dll”重新命名为“dsound.dll.EBYH”,然后将包含恶意代码的“dsound.dll.dat”复制到%SystemRoot%\system32\dllcache\”和“%SystemRoot%\system32\”文件夹下,重新命名为“dsound.dll”。后台遍历当前系统中运行的所有进程,如果发现“360tray.exe”存在,“霸族”变种tey便会尝试将其强行关闭,从而达到自我保护的目的。“霸族”变种tey是一个专门盗取“反恐精英online”和“地下城和勇士”网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的URL“www.c*y.tk/zwepp/lin.asp”,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“霸族”变种tey的主程序在安装完成后会创建批处理文件“tempVidio.bat”并调用运行,以此消除痕迹。

英文名称:Backdoor/SdBot.kdc

中文名称:“赛波”变种kdc

病毒长度:56832字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:f20e8c9c98299f3d68e376449d103100

特征描述:

Backdoor/SdBot.kdc“赛波”变种kdc是“赛波”家族中的最新成员之一,采用高级语言编写。“赛波”变种kdc运行后,会自我复制到被感染系统的“%SystemRoot%\”文件夹下,重新命名为“winudspm.exe”。“赛波”变种kdc属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的远程站点“xn--mg-*a.com”,获取客户端地址,尝试加入2个僵尸网络的群组:“#blockbot2”和“#blockbot.msn”,然后侦听骇客指令,从而达到被远程控制的目的。该后门具有远程监视、控制、下载恶意程序等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除用户计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“赛波”变种kdc的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外,“赛波”变种kdc会在被感染系统注册表启动项中添加键值,以此实现开机自启。“赛波”变种kdc可通过MSN消息进行传播。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行