天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“恶推客”变种jkp

2011-3-15华军资讯佚名

英文名称:TrojanSpy.Zbot.xwh

中文名称:“砸波”变种xwh

病毒长度:130560字节

病毒类型:间谍木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:4c67656e41d5e0051a74d81e4dfbf1e6

特征描述:

TrojanSpy.Zbot.xwh“砸波”变种xwh是“砸波”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“砸波”变种xwh运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“sdra64.exe”。在“%SystemRoot%\system32\lowsec\”文件夹下释放恶意程序“user.ds.lll”、“user.ds”、“local.ds”。结束被感染系统的“smss.exe”进程,并将恶意代码注入到“winlogon.exe”进程中隐秘运行。后台遍历当前系统中运行的所有进程,一旦发现指定的安全软件存在,“砸波”变种xwh便会尝试将其结束,从而更好的实现自我保护。在被感染系统的后台秘密窃取系统中的机密信息(计算机配置、银行卡密码、浏览网页的账号密码等),并在后台将窃得的信息发送到骇客指定的远程站点或邮箱里(地址加密存放),给被感染系统用户造成了不同程度的损失。后台连接骇客指定的远程站点“stomaid.ru”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“砸波”变种xwh会在被感染系统注册表启动项中修改指定键值(userinit),以此实现开机自动运行。

英文名称:TrojanDownloader.Icehart.ag

中文名称:“冰之心”变种ag

病毒长度:125952字节

病毒类型:木马下载器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:c7b1bdb3df48875b922d98bffdae01d7

特征描述:

TrojanDownloader.Icehart.ag“冰之心”变种ag是“冰之心”家族中的最新成员之一,采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“冰之心”变种ag运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“system.exe”。在“%SystemRoot%\system32\”文件夹下释放恶意程序“hhrlnn.exe”,并在后台调用命令运行。该恶意程序运行后会将自身删除,以此消除痕迹。“hhrlnn.exe”运行时,会把“%SystemRoot%\system32\wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“1.tmp”,然后通过其访问网络。在被感染系统的后台连接骇客指定的远程站点“e13.n*bo.com:8080/”,获取恶意程序下载列表,然后下载指定的恶意程序sc.png等并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,其会在桌面上创建快捷方式“免费电影C”、“改变你的一生”、“淘宝购物A”,以此指向骇客指定的站点“www.sf*08.com/taobao.htm”,从而提高了网站的访问量,给骇客带来了非法的经济利益。另外,“冰之心”变种ag会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。

英文名称:Backdoor/Huigezi.abzh

中文名称:“灰鸽子”变种abzh

病毒长度:417374字节

病毒类型:后门

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:4d7737010758711e7ff9a37677ef3476

特征描述:

Backdoor/Huigezi.abzh“灰鸽子”变种abzh是“灰鸽子”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“灰鸽子”变种abzh运行后,会自我复制到被感染系统的“%SystemRoot%\”和“%programfiles%\”文件夹下,重新命名为“WindowsUpdate.exe”(文件属性设置为“系统、隐藏”)。“灰鸽子”变种abzh运行后,会检测被感染系统“%SystemRoot%\system32\drivers\”文件夹下是否存在名为“klif.sys”的驱动文件。运行iexplore.exe进程,通过API函数“ZwUnmapViewOfSection”获取IE进程的基址,之后申请内存空间,并将恶意代码注入到其中隐秘运行。秘密连接骇客指定的站点“su*hen.3322.org”,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过“灰鸽子”变种abzh完全远程控制被感染的计算机系统,从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。“灰鸽子”变种abzh的原病毒程序在运行完成后会将自我删除,以此消除痕迹。另外,其会通过新建名为“WindowsUpdate”的服务的方式实现开机自启。

英文名称:Backdoor/Inject.vy

中文名称:“植木马器”变种vy

病毒长度:94131字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:a02779da9b884e5879f9122cca57ab3f

特征描述:

Backdoor/Inject.vy“植木马器”变种vy是“植木马器”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“植木马器”变种vy运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“ggfps.exe”。该后门会将恶意代码插入到“explorer.exe”等几乎所有的进程中隐秘运行,以此隐藏自我,防止被轻易地查杀。“植木马器”变种vy运行时,会在被感染系统的后台秘密监视用户的键盘输入,窃取用户输入的账号及密码等机密信息,并在后台将窃得的信息发送到骇客指定的远程站点或邮箱里(地址加密存放),给被感染计算机用户造成了不同程度的损失。后台连接骇客指定的远程站点“http://chid*le.com/twchi/”,下载恶意程序“chidoule.gif”、“chidoule.jpg”、“chidoule.bmp”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“植木马器”变种vy会在被感染系统注册表启动项中修改登陆初始化内容(userinit),以此实现开机自启。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行