华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。另外在此提醒您,及时更新病毒库和为系统打上最新补丁对于保护电脑安全非常重要,建议定期更新杀软病毒库,关注安全漏洞新闻。
英文名称:Trojan/VBS.zx
中文名称:“VBS傀儡”变种zx
病毒长度:76376字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:9ecc1bef464dc50985e94bb61ea39481
特征描述:
Trojan/VBS.zx“VBS傀儡”变种zx是“VBS傀儡”家族中的最新成员之一,采用“VBS”脚本语言编写。“VBS傀儡”变种zx运行时,会强行篡改系统注册表中的相关项,设置IE浏览器、遨游浏览器、360安全浏览器、Mozilla Firefox浏览器、搜狗浏览器的默认主页为骇客指定站点“http://www.zao*zhu.com/?my=0”,致使用户在开启浏览器后会自动访问该站点,从而为其增加了访问量,给骇客带来了非法的经济利益。在被感染系统的“%USERPROFILE%\Favorites”和“%USERPROFILE%\Favorites\链接”文件夹下释放恶意图标“4399小游戏”、“高清电影”、“无屏蔽搜索”、“百度搜索”、“起点小说”、“起点小说”、“网络创业秘籍”、“网址大全”,当用户点击这些图标则会链接到骇客指定的网站“www.mylo*ebs.com”的相关页面。在被感染系统的后台遍历当前系统中运行的所有进程,如果未发现某些指定的安全软件存在,“VBS傀儡”变种zx便会在“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下创建恶意脚本文件“360vbs.jse”来实现“%SystemRoot%\tctbmd.vbs”的自启动。若检测到系统内正在运行的进程中包含以下进程:“360sd.exe”、“360tray.exe”、“360rp.exe”、“360Safe.exe”,则会禁止这些程序访问网络,这样做的目的是防止云查杀,从而更好的保护自身。在桌面创建恶意图标“Internet Explorer.tt”和“特色购物.bt”,用户一旦点击则会连接到骇客指定的网站。另外,其还会在后台调用命令删除相关用户对这些文件的控制权限,致使用户不能轻易删除。
英文名称:TrojanDropper.Killav.es
中文名称:“AV杀手”变种es
病毒长度:46384字节
病毒类型:木马释放器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:4b68c7b4f292b68f40b9839d20404be6
特征描述:
TrojanDropper.Killav.es“AV杀手”变种es是“AV杀手”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“AV杀手”变种es运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“lqcyc52.cyc”,然后把“lqcyc52.cyc”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“setupapi.dll”。还会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“systemdebug.exe”。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件存在,“AV杀手”变种es便会尝试将其强行关闭,从而达到自我保护的目的。“AV杀手”变种es运行时,会在被感染系统的后台连接骇客指定的站点“http://www.xb*ws.com/”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,其会访问骇客指定的URL“www.b83965.com/get.asp?mac=00-0c-29-05-68-b1&ver=4.1”,以此对被感染系统进行数量统计。“AV杀手”变种es在运行完成后会创建批处理文件“test.bat”并在后台调用执行,以此将自身删除。
英文名称:Trojan/Fakeav.mml
中文名称:“伪杀鬼”变种mml
病毒长度:331776字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:00a7e807b808be0a0d30aa60709206a7
特征描述:
Trojan/Fakeav.mml“伪杀鬼”变种mml是“伪杀鬼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“伪杀鬼”变种mml运行后,会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Application Data\”文件夹下,重新命名为“ynv.exe”。然后会执行命令:“%USERPROFILE%\Local Settings\Application Data\ynv.exe”-gav %USERPROFILE%\桌面\Trojan.Fakeav.mml\00a7e807b808be0a0d30aa60709206a7.exe。其会释放一个名为“XP Home Security 2011”的假冒杀毒软件并调用运行。“XP Home Security 2011”运行后,会将正常的系统文件误报为病毒,以此诱骗用户进行付费注册,从而实现诈骗的目的。被感染系统用户不仅无法通过任务管理器来结束该软件,其运行时甚至还会屏蔽其它的安全软件,以此提高自身的生存几率,给被感染系统用户造成了不同程度的威胁和干扰。“伪杀鬼”变种mml访问网络时,会在被感染系统的后台调用IE浏览器“iexplore.exe”,并将恶意代码注入其中隐秘运行,以此隐藏自我,防止被轻易地查杀。如果被感染的计算机上已安装并启用了防火墙,则该木马便会利用防火墙的白名单机制来绕过防火墙的监控,从而达到隐蔽通信的目的。其还会查找名为“wscntfy.exe”的服务,找到后会试图将其删除,给被感染系统造成了更多的破坏。
英文名称:Backdoor/IRCBot.mtq
中文名称:“IRC波”变种mtq
病毒长度:51727字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:ace18e1c0fcd7f35b835de8065f4968c
特征描述:
Backdoor/IRCBot.mtq“IRC波”变种mtq是“IRC波”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“IRC波”变种mtq运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“wjdrive32.exe”。文件属性设置为“隐藏、只读”。“IRC波”变种mtq是一个后门程序,其会利用IRC协议(互联网中继聊天)与服务器“jjjjjj*press.net”建立连接,并与服务器进行命令交互,从而达到远程控制的目的。“IRC波”变种mtq可根据服务器发送的指令,以FTP和HTTP的方式下载恶意程序。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的威胁。其还会执行对指定IP发动DDos攻击、向MSN联系人发送包含恶意程序的ZIP压缩包等操作,从而造成了更大的破坏和侵害。后台遍历当前系统正在运行的所有进程,如果发现某些指定的安全软件存在,“IRC波”变种mtq便会尝试将其强行关闭,从而达到自我保护的目的。将恶意代码插入到“explorer.exe”进程中隐秘运行。后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。“IRC波”变种mtq会在被感染系统注册表启动项中添加键值,以此实现自动运行。另外,其会查找被感染计算机用户的MSN联系人,并向其发送包含恶意程序的附件,以此实现自我传播。
本文来源:华军资讯 作者:佚名