天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“G波”变种nq

2011-3-22华军资讯佚名

英文名称:Trojan/VBS.ka

中文名称:“VBS傀儡”变种ka

病毒长度:5719字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:8c3fc0993bf419094b80323a30b2bff9

特征描述:

Trojan/VBS.ka“VBS傀儡”变种ka是“VBS傀儡”家族中的最新成员之一,采用“VBS”脚本语言编写。“VBS傀儡”变种ka运行后,会执行被感染系统“%SystemRoot%\system32\”文件夹下的恶意批处理程序“3.bat”。在被感染系统的桌面上创建恶意图标“超级好玩小游戏”、“淘宝网今日打折特价区”,双击后会分别访问“http://www.dj*x.cn/?desk”和“http://www.1*6.cc/taobao.htm?desk”。在收藏夹中添加多个垃圾Internet快捷方式,分别指向网站“http://union.da*ang.com/transfer/transfer.aspx?from=P-261907&backurl=http://www.dangdang.com”、“http://www.1*6.cc/taobao.htm”、“http://www.am*on.cn/?source=narutokks”、““http://www.dj*x.cn/?fav”,从而以恶意推广的方式牟取非法的经济利益。运行“%SystemRoot%\system32\3.vbs”,从而执行更多的恶意操作。“VBS傀儡”变种ka会强行设置IE浏览器的默认主页为骇客指定站点“http://www.2*5.cc/”,致使用户在开启IE浏览器后会自动访问该站点,从而为其增加了访问量,给骇客带来了非法的经济利益。另外,“VBS傀儡”变种ka会修改注册表登陆初始化内容,以此实现开机自启。

英文名称:TrojanSpy.SpyEyes.boy

中文名称:“谍之眼”变种boy

病毒长度:35960字节

病毒类型:间谍木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:ad91c4ccb6503ccfdf0bfd51d55bcb7a

特征描述:

TrojanSpy.SpyEyes.boy“谍之眼”变种boy是“谍之眼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“谍之眼”变种boy运行后,会自我复制到被感染系统的“%USERPROFILE%\Application Data\Adobe\”文件夹下,重新命名为“AdobeUtil.exe”。文件属性设置为“系统、隐藏”。然后其会重命名为“err.log1449875”。将被感染系统“%SystemRoot%\system32\”文件夹下的系统文件“mshta.exe”复制到该病毒所在的文件夹,并以该病毒的名称重命名,还会复制到“%USERPROFILE%\Application Data\Adobe\”文件夹下,重命名为“adb.cer”。执行“%USERPROFILE%\Application Data\Adobe\AdobeUtil.exe”,命令行参数为“-fst”。其会在被感染系统的后台连接骇客指定的站点“erherg3*fwe.com/xgate.php”等,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“谍之眼”变种boy会在开始菜单“启动”文件夹下添加名为“AdbUpd.lnk”的快捷方式(指向自身副本),以此实现自动运行。

英文名称:Backdoor/Gbot.tu

中文名称:“G波”变种tu

病毒长度:169984字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:df9844319115b80381b92c51db2889a6

特征描述:

Backdoor/Gbot.tu“G波”变种tu是“G波”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“G波”变种tu运行后,会自我复制到被感染系统的“%USERPROFILE%\Application Data\”文件夹下,重新命名为“dwm.exe”。还会在该文件夹下释放恶意程序“A6AA.1A3”。在“%USERPROFILE%\Application Data\Microsoft\”文件夹下释放恶意程序“conhost.exe”,在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放“csrss.exe”。“G波”变种tu运行时,会在被感染系统的后台连接骇客指定的站点“onlinebi*ory.com”、“pdasof*e.com”、“gra*ar.com”、“suppor*idevices.com”、“realsoft*lopment.com”、“ord*allcd.com”、“z*tf.com”、“happy*ddin.com”、“lostpr*anda.net”、“mono*rom.at”、“online*secretfriends.com”、“fo*sho.com”、“hollan*rrett.com”、“natio*electric.com”、“health*ow.com”、“onlinein*te.com”、“crazyle*ign.com”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“G波”变种tu会在被感染系统注册表启动项中添加键值,以此实现开机自启。

英文名称:TrojanDropper.Flystud.bry

中文名称:“苍蝇贼”变种bry

病毒长度:1406608字节

病毒类型:木马释放器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:bfa50dce7dc5feabf2e1ea63f1d15f5d

特征描述:

TrojanDropper.Flystud.bry“苍蝇贼”变种bry是“苍蝇贼”家族中的最新成员之一,采用“易语言”编写,经过加壳保护处理。“苍蝇贼”变种bry运行后,会自我复制到被感染系统的“C:\WINDOWS\system32\ACF7EF”文件夹下,重新命名为“74BE16.EXE”。在开始菜单[启动]文件夹中添加名为“74BE16”的快捷方式(指向自身副本),以此实现开机自启。“苍蝇贼”变种bry运行后,会在被感染系统的“C:\WINDOWS\system32\5A8DCC”和“C:\Documents and Settings\Administrator\Local Settings\TempE_N4”文件夹下分别释放易语言运行库“dp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fne”等。在“C:\WINDOWS\system32”文件夹下创建空目录0F6226、76682F,用于记录指定数据。秘密搜集用户数据,并将相关信息发送到骇客指定的远程站点,从而给用户造成了不同程度的损失。还可能从骇客指定的远程站点下载恶意程序并自动调用运行,其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“苍蝇贼”变种bry可通过U盘进行传播。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行