日前“呼啸鬼”蠕虫家族的最新成员Worm/Huhk.b“呼啸鬼”变种b正在疯狂的利用U盘、移动硬盘、SD卡等移动存储设备进行传播。
Worm/Huhk.b“呼啸鬼”变种b采用高级语言编写,并且经过加壳保护处理。
如果你的system32多了一个名字是“28463”的文件夹,那就是“呼啸鬼”变种b在作恶。“呼啸鬼”变种b运行后,会自我复制到被感染计算机系统的“%SystemRoot%\”和“%SystemRoot%\system32\”目录下,重新命名为“regsvr.exe”、“regsvr.exe”和“svchost .exe”,同时设置这些文件的属性为“系统、隐藏、只读、存档”。“呼啸鬼”变种b还会在这个目录下建立28463文件夹,并释放恶意程序“svchost.exe”以及配置文件到文件夹里。
“呼啸鬼”变种b运行后,会将正常系统文件“explorer.exe”移动到“%USERPROFILE%\Local Settings\Temp\”目录下,重新命名为“lorer.exe”。感染正常的“explorer.exe”,并将感染后的文件分别复制到“%SystemRoot%\”和“%SystemRoot%\system32\dllcache\”目录下,以此实现了随机自启,提高了蠕虫自身的隐蔽程度和生存几率。
“呼啸鬼”变种b运行时,会在被感染计算机系统的后台秘密监视用户的键盘输入,记录按键输入以及窗口标题等信息到加密的日志文件中,并在后台将窃取到的信息发送到骇客指定的邮箱“tlpoei*@aol.com”和FTP服务器“ftp://ftp.smt*.ru”上(地址经过加密处理),从而给被感染计算机用户的个人隐私等造成了不同程度的侵害。连接骇客指定的远程服务器站点,下载其它恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成更多不同程度的损失。
“呼啸鬼”变种b还会监视被感染系统中新插入的移动存储设备,一旦发现有新的存储设备接入时,便会在其根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫主程序“regsvr.exe”,以此实现双击盘符后激活蠕虫,从而达到利用U盘、移动硬盘、SD卡等移动存储设备进行传播、感染的目的,致使用户面临更多的威胁。
“呼啸鬼”变种b会通过在被感染计算机系统注册表启动项中添加键值“svchost Agent”、“Msn Messsenger”,以及新建计划任务等多种方式实现开机后的自动运行。
本文来源:塞迪网 作者:佚名