英文名称:TrojanDownloader.Icehart.aj
中文名称:“冰之心”变种aj
病毒长度:126976字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:44ea3c569bc18ab767b319bd18c48696
特征描述:
TrojanDownloader.Icehart.aj“冰之心”变种al是“冰之心”家族中的最新成员之一,采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“冰之心”变种aj运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“system.exe”。在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意程序“iavsl.exe”,并在后台调用命令执行。该恶意程序运行后会将自身删除,以此达到消除痕迹的目的。“iavsl.exe”运行时,会将“%SystemRoot%\system32\wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“1.tmp”,然后通过其访问网络。后台连接骇客指定的远程站点“e14.n*ux.com:8080/”,获取恶意程序下载列表,下载指定的恶意程序“sc.png”等并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,其还会在桌面上创建垃圾快捷方式“免费电影C”、“改变你的一生”、“淘宝购物A”,以此为“http://www.s*08.com/taobao.htm”增加流量。另外,“冰之心”变种aj会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。
英文名称:TrojanDownloader.FlyStudio.bqg
中文名称:“苍蝇贼”变种bqg
病毒长度:1127487字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:ec77a09cc8e1b03fc044aa34933876ce
特征描述:
TrojanDownloader.FlyStudio.bqg“苍蝇贼”变种bqg是“苍蝇贼”家族中的最新成员之一,采用“易语言”编写,并且经过加壳保护处理。“苍蝇贼”变种bqg运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\E_N4\”文件夹下释放由易语言编写的恶意DLL组件“dp1.fne ”、“krnln.fnr”,并复制到名为“%SystemRoot%\system32\276d2b\”的文件夹下。还会在“%SystemRoot%\system32\276d2b\”文件夹下释放相关组件“HtmlView.fne”、“eAPI.fne”、“internet.fne”以及恶意程序“W1DEFD0.EXE”和“W1DEFD0.TXT”。秘密连接骇客指定的服务器站点,侦听骇客指令,在被感染的计算机上执行相应的恶意操作。骇客可通过“苍蝇贼”变种bqg完全远程控制被感染的计算机系统,致使系统用户的个人隐私面临着严重的威胁。其还会在后台连接骇客指定的远程站点,下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了更大的损失。另外,“苍蝇贼”变种bqg会在被感染系统注册表启动项中添加键值,在“开始”文件夹中创建快捷方式“867B57.lnk”,以此实现开机自启动。
英文名称:Backdoor/Papras.ys
中文名称:“劈啪斯”变种ys
病毒长度:130560字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:845afcb0b940ffd352fe8195a4a1e6d7
特征描述:
Backdoor/Papras.ys“劈啪斯”变种ys是“劈啪斯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“劈啪斯”变种ys运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“dpvsedos.dll”,文件属性设置为“系统、隐藏、只读”。“劈啪斯”变种ys运行时,会将释放的恶意DLL组件“dpvsedos.dll”插入到被感染系统的“firefox.exe”和“iexplorer.exe”进程中隐秘运行。后台执行相应的恶意操作,以此隐藏自我,防止被轻易地查杀。秘密连接骇客指定的站点“194.247.*.100/cgi-bin/options.cgi?user%5fid=2450581811&version%5fid=24&passphrase=fkjvhsdvlksdhvlsd&socks=0&build=32100&crc=00000000”和“91.217.*.64/cgi-bin/options.cgi?user%5fid=2450581811&version%5fid=24&passphrase=fkjvhsdvlksdhvlsd&socks=0&build=32100&crc=00000000”,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过“劈啪斯”变种ys完全远程控制被感染的计算机系统,从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。“劈啪斯”变种ys在运行完成后会创建批处理文件(“1960656.bat”)并在后台调用执行,以此将自身删除。另外,“劈啪斯”变种ys会在被感染系统注册表启动项中添加键值,以此实现自动运行。
英文名称:Trojan/Fakeav.jir
中文名称:“伪杀鬼”变种jir
病毒长度:22528字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:a4ade2f512e8cfe9c9de1944323f39f3
特征描述:
Trojan/Fakeav.jir“伪杀鬼”变种jir是“伪杀鬼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“伪杀鬼”变种jir运行后,会自我复制到被感染计算机系统盘根目录下的“C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\”文件夹下,重新命名为“ju7bd.exe”。还会在该文件夹下释放配置文件“Desktop.ini”,并将以上文件的属性设置为“系统、隐藏、只读”。遍历当前系统中的所有进程,一旦
发现某些安全软件的进程(MSASCui.exe、msseces.exe)存在,便会尝试将其结束,致使系统失去安全软件的保护。将恶意代码插入到“explorer.exe”进程中隐秘运行,以此隐藏自我,防止被轻易地查杀。后台连接骇客指定的远程站点“mix.te*ame.com”,获取配置文件(数据加密,文件内容包括病毒的版本号、更新日期、恶意网站地址等),然后根据其中的设置执行相应的恶意操作。其会将自身作为电子邮件附件发送给指定的E-mail地址,从而实现了自我传播。另外,“伪杀鬼”变种jir会在被感染系统注册表启动项中添加键值“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ju7bd”,以此实现开机自动运行。
本文来源:华军资讯 作者:佚名