天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“友好客户”变种rma

2011-3-28华军资讯佚名

英文名称:TrojanSpy.SpyEyes.bqe

中文名称:“谍之眼”变种bqe

病毒长度:62464字节

病毒类型:间谍木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:bda72e57d263241d52b1fe2ef014cba9

特征描述:

TrojanSpy.SpyEyes.bqe“谍之眼”变种bqe是“谍之眼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“谍之眼”变种bqe运行后,会自我复制到被感染系统的“%USERPROFILE%\Application Data\Adobe\”文件夹下,重新命名为“AdobeUtil.exe”。文件属性设置为“系统、隐藏”。然后其会重命名为“err.log200125”,文件属性设置为“隐藏、临时”。将被感染系统“%SystemRoot%\system32\”文件夹下的系统文件“mshta.exe”复制到该病毒所在的文件夹,并以该病毒的名称重命名,还会复制到“%USERPROFILE%\Application Data\Adobe\”文件夹下,重命名为“adb.cer”。在该文件夹创建两个空文件夹“plugs”、“shed”。执行“%USERPROFILE%\Application Data\Adobe\AdobeUtil.exe”,命令行参数为“-fst”。其会在被感染系统的后台连接骇客指定的站点“erherg34*we.com/xgate.php”、“d34g*rgad.com”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,其会在开始菜单“启动”文件夹下添加名为“AdbUpd.lnk”的快捷方式(指向自身副本),以此实现自动运行。

英文名称:TrojanDownloader.FlyStudio.brs

中文名称:“苍蝇贼”变种brs

病毒长度:1215442字节

病毒类型:木马下载器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:580e662d75e5253d3ba3ccb31534320e

特征描述:

TrojanDownloader.FlyStudio.brs“苍蝇贼”变种brs是“苍蝇贼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“苍蝇贼”变种brs运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\E_N4\”文件夹下释放由易语言编写的DLL组件“dp1.fne ”、“krnln.fnr”、“shell.fne”、“RegEx.fnr”、“cnvpe.fne”、“eAPI.fne”等,并复制到名为“%SystemRoot%\system32\6F47C8\”的文件夹下。自我复制到“%SystemRoot%\system32\FC4B9C\”文件夹下,重新命名为“6F1B68.EXE”。创建2个空文件夹“4BDA50”和“05158E”,用于记录指定数据。“苍蝇贼”变种brs运行时,会窃取计算机用户的相关信息,并且发送到骇客指定的站点。在被感染系统的后台获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“苍蝇贼”变种brs会在被感染系统注册表启动项中添加键值,在“启动”文件夹中创建快捷方式“48E80C.lnk”,以此实现开机自启。

英文名称:Trojan/PSW.Taworm.azl

中文名称:“毒它虫”变种azl

病毒长度:100309字节

病毒类型:盗号木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:4e3b0c2932333887cf8812216df56b84

特征描述:

Trojan/PSW.Taworm.azl“毒它虫”变种azl是“毒它虫”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“毒它虫”变种azl运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意程序“xqylt.exe”。将恶意代码插入到“explorer.exe”进程中隐秘运行。后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。“毒它虫”变种azl运行时,会在被感染系统的后台连接骇客指定的站点“www.l*888.com/twtmw/”,下载恶意程序“liutw888.gif”、“liutw888.jpg”、“liutw888.bmp”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。其还会秘密连接骇客指定的站点“www.ha*06.com”,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过“毒它虫”变种azl完全远程控制被感染的计算机系统,从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。“毒它虫”变种azl在运行完成后会将自我删除,从而达到消除痕迹的目的。另外,“毒它虫”变种azl会通过篡改系统注册表相关键值的方式实现自动运行。

英文名称:Backdoor/Gbot.qp

中文名称:“G波”变种qp

病毒长度:206848字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:301d399f0482cfefe301734a7764a97b

特征描述:

Backdoor/Gbot.qp“G波”变种qp是“G波”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“G波”变种qp运行后,会自我复制到被感染系统的“%USERPROFILE%\Application Data\”文件夹下,重新命名为“dwm.exe”。还会在该文件夹下释放恶意程序“A6AA.1A3”。在“%USERPROFILE%\Application Data\Microsoft\”文件夹下释放恶意程序“conhost.exe”,在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放“csrss.exe”。“G波”变种qp运行时,会在被感染系统的后台连接骇客指定的站点“pdasof*orage.com”、“grav*ar.com”、“support*devices.com”、“realsoftw*lopment.com”、“orders*cd.com”、“zon*f.com”、“happ*ddin.com”、“lostpro*a.net”、“mon*m.at”、“onlinedatin*friends.com”、“bigbeerc*line.com”、“hollandandbarrett.com”、“nationsau*tric.com”、“online*tute.com”、“crazyleaf*gn.com”、“greenherba*online.com”、“doublemo*ck.com”、“ps*k.com”,从而为这些站点增加了访问量。另外,“G波”变种qp会在被感染系统注册表启动项中添加键值,以此实现开机自启。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行