天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“友好客户”变种rma

2011-3-28华军资讯佚名

华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。另外在此提醒您,及时更新病毒库和为系统打上最新补丁对于保护电脑安全非常重要,建议定期更新杀软病毒库,关注安全漏洞新闻。

英文名称:TrojanDropper.VB.uyc

中文名称:“视频宝宝”变种uyc

病毒长度:102400字节

病毒类型:木马释放器

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:23d4edc2b2b13bd0b73cbd9b198fdac0

特征描述:

TrojanDropper.VB.uyc“视频宝宝”变种uyc是“视频宝宝”家族中的最新成员之一,采用“VB6.0”编写。“视频宝宝”变种uyc运行后,会在被感染系统的“c:\program files\common files”文件夹下释放图标文件“t.ico”和“d.ico”,在桌面和“c:\Documents and Settings\All Users\[开始] 菜单\”文件夹下释放“internet explorer.hdh”、“在线小游戏.hyx”、“看电影.hpf”、“网上购物.htb”、“上网导航.h35”、“图片新闻.hli”,同时会为这些文件设置相关属性,从而防止被轻易地删除。在“c:\Program Files”下释放“ZD37TA.exe”,还会在当前目录下释放“网聚.exe”和“jies.bak.vbs”。在注册表中为“*.hdh”、“*.hyx”、“*.hpf”、“*.htb”、“*.h35”、“*.hli”等类型文件建立关联信息,并修改默认图标,从而为这些文件增强了迷惑性。当用户双击这些文件时,会通过IE浏览器自动访问“http://www.hen*cuo.com/?1121 ”、“http://www.d*d.com/?1121”、“http://www.pi*ang.net/?1121”、“http://taobao.l*so.com/?1121”、“http://www.3*s.com/?1121”、“http://www.l*so.com/?1121”,从而增加了访问量。另外,其还会在计算机系统中安装被称为“风影影视”的软件,为其增加了装机量。其释放的“网聚.exe”运行后会弹出一些指定的网站。另外,“视频宝宝”变种uyc在运行完成后会创建脚本文件并调用运行,以此将自身删除。

英文名称:Trojan/Refroso.imc

中文名称:“毒露水”变种imc

病毒长度:93696字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:9c17add7a15f459fe090e622da3ad64f

特征描述:

Trojan/Refroso.imc“毒露水”变种imc是“毒露水”家族中的最新成员之一,采用“Microsoft CAB SFX”编写。“毒露水”变种imc运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\IXP000.TMP\”文件夹下释放恶意程序“i-2.exe”并调用运行。“i-2.exe”执行后,会自我复制到“%programfiles%\Bifrost\”文件夹中,重新命名为“server.exe”,属性设置成为“隐藏”。“server.exe”属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的站点“jeedo.za*to.org”,获取客户端IP地址,侦听骇客指令,从而达到被骇客远程控制的目的。该木马具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“毒露水”变种imc的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。“毒露水”变种imc访问网络时,会在被感染计算机的后台调用系统IE浏览器进程“iexplore.exe”,并把恶意代码注入其中隐秘运行,以此隐藏自我,防止被轻易地查杀。如果被感染的计算机上已安装并启用了防火墙,则该木马会利用防火墙的白名单机制来绕过防火墙的监控,从而达到隐蔽通信的目的。“毒露水”变种imc会在被感染系统注册表启动项中添加键值,以此实现开机自启。

英文名称:Trojan/Chifrax.afr

中文名称:“橘色诱惑”变种afr

病毒长度:251864字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:a9b47caafe5d562dd9c5345bd05bcf95

特征描述:

Trojan/Chifrax.afr“橘色诱惑”变种afr是“橘色诱惑”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“橘色诱惑”变种afr运行后,会在被感染系统的“%SystemRoot%\Temp\”文件夹下释放恶意文件“server.exe”和恶意脚本文件“Setup.vbs”。通过“Setup.vbs”来启动进程“server.exe”。“server.exe”运行后,会在系统盘根目录下释放恶意DLL组件“file.tmp”,然后提升自身权限,将恶意代码注入到系统进程“winlogon.exe”中。调用系统DLL组件“sfc.dll”中的2号函数,把“%SystemRoot%\system32\dllcache\”、“%SystemRoot%\\ServicePackFiles\i386\”、“%SystemRoot%\system32\”文件夹下的系统DLL“qmgr.dll”移动到“%SystemRoot%\”文件夹下,重新命名为“dll.bak”。之后,会将“file.tmp”复制到“%SystemRoot%\system32\dllcache\”、“%SystemRoot%\ServicePackFiles\i386\”、“%SystemRoot%\system32\”文件夹下,重新命名为“qmgr.dll”,以此替换系统文件。之后,其会删除“file.tmp”和系统盘根目录下的“sfc.exe”。“server.exe”运行时,会秘密连接骇客指定的服务器“cr*cn.kmip.net”,侦听骇客指令,在被感染的计算机上执行相应的恶意操作。骇客可通过“橘色诱惑”变种afr完全远程控制被感染的系统,不仅使系统用户的个人隐私面临着严重的威胁,甚至还会威胁到企业的商业机密。“server.exe”在运行完成后会将自我删除,从而达到消除痕迹的目的。其会通过修改系统已有服务“BITS”的方式实现自动运行。

英文名称:Backdoor/PcClient.rma

中文名称:“友好客户”变种rma

病毒长度:65281字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:502d31b7b2d607e900a31ae140b6a9bd

特征描述:

Backdoor/PcClient.rma“友好客户”变种rma是“友好客户”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“友好客户”变种rma运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“jnojbe.dll”和恶意文件“000046613.001”。将“jnojbe.dll”插入到被感染系统的“svchost.exe”进程中隐秘运行。后台执行相应的恶意操作,以此隐藏自我,防止被轻易地查杀。其会在被感染系统的后台连接骇客指定的站点“longxing.idc*0.net.cn/wen/”,读取配置文件“wen.txt”,然后根据其中的设置下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了不同程度的损失。秘密连接骇客指定的服务器,侦听骇客指令,在被感染的计算机上执行相应的恶意操作。骇客可通过“友好客户”变种rma完全远程控制被感染的计算机系统,不仅使系统用户的个人隐私面临着严重的威胁,甚至还会威胁到企业的商业机密。“友好客户”变种rma在运行完成后会创建批处理文件并在后台调用执行,以此将自身删除。另外,“友好客户”变种rma会在被感染计算机中注册名为“svchosts”的系统服务,以此实现自动运行。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行