天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“砸波”变种ynr

2011-4-6华军资讯佚名

华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。另外在此提醒您,及时更新病毒库和为系统打上最新补丁对于保护电脑安全非常重要,建议定期更新杀软病毒库,关注安全漏洞新闻。

英文名称:Trojan/Invader.cgw

中文名称:“入侵者”变种cgw

病毒长度:42040字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:000d97f00326e3e493703365bf18385e

特征描述:

Trojan/Invader.cgw“入侵者”变种cgw是“入侵者”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“入侵者”变种cgw运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“dbr99002.ocx”、“dbr09018.ocx”以及恶意文件“winnt.com”、“dbr09018.ttf”。将“%SystemRoot%\system32\”文件夹下的系统DLL组件“rundll32.exe”复制为“gbvgbv09.exe”。调用CreateProcess函数执行命令“C:\WINDOWS\system32\gbvgbv09.exe C:\WINDOWS\system32\dbr09018.ocx pfjaoidjglkajd C:\Documents and Settings\Administrator\桌面\000d97f00326e3e493703365bf18385e.exe”和“C:\WINDOWS\system32\gbvgbv09.exe C:\WINDOWS\system32\dbr99002.ocx pfjieaoidjglkajd”。其会将“winnt.com”注入“explorer.exe”内存空间中隐秘运行,并在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。“入侵者”变种cgw是一个专门盗取“龙之谷”网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题,一旦发现指定程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。“入侵者”变种cgw在运行完成后会将自身删除,从而达到消除痕迹的目的。

英文名称:TrojanDownloader.FlyStudio.brl

中文名称:“苍蝇贼”变种brl

病毒长度:1220424字节

病毒类型:木马下载器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:1cf0ce04b05eee0c7754a645035e27e5

特征描述:

TrojanDownloader.FlyStudio.brl“苍蝇贼”变种brl是“苍蝇贼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“苍蝇贼”变种brl运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\E_N4\”文件夹下释放由易语言编写的程序组件“dp1.fne ”、“krnln.fnr”、“cnvpe.fne”、“eAPI.fne”、“HtmlView.fne”等,并复制到名为“%SystemRoot%\system32\92463D\”的文件夹下。自我复制到“%SystemRoot%\system32\04621E\”文件夹下,重新命名为“39D749.EXE”。创建2个空文件夹“0E5659”和“1E4D87”,用于记录指定数据。“苍蝇贼”变种brl运行时会窃取相关的信息,并将其发送到骇客指定的站点。还会在被感染系统的后台连接骇客指定的站点,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“苍蝇贼”变种brl会通过在被感染系统注册表启动项中添加新键、在“开始”文件夹中创建快捷方式“E195D5.lnk”的方式实现开机自启。另外,“苍蝇贼”变种brl可通过U盘进行传播。

英文名称:Trojan/Pincav.jwj

中文名称:“恶推客”变种jwj

病毒长度:118272字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:9c44c6c9f0bece0a7149b738bb629b82

特征描述:

Trojan/Pincav.jwj“恶推客”变种jwj是“恶推客”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“恶推客”变种jwj运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“dwtzo.exe”。将恶意代码注入到新建的“explorer.exe”进程中隐秘运行。后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。其会在被感染系统的后台连接骇客指定的站点“www.chibitwtw*h.com/sanji/”,下载恶意程序“chibitwtw123hhh.gif”、“chibitwtw123hhh.jpg”、“chibitwtw123hhh.bmp”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“恶推客”变种jwj是一个专门盗取网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视系统所运行程序的窗口标题,一旦发现指定程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。在被感染系统的后台连接骇客指定的站点“www.ha*06.com”,获取配置文件(内容为加密数据,其中包括病毒的版本号、更新日期、恶意网址等),然后根据其中的设置执行相应的恶意操作。另外,“恶推客”变种jwj会通过在被感染系统注册表启动项中添加键值、修改登陆初始化内容等多种方式实现自动运行。

英文名称:TrojanSpy.Zbot.ynr

中文名称:“砸波”变种ynr

病毒长度:135680字节

病毒类型:间谍木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:ff07394036050ce7b1a987dc5e77c570

特征描述:

TrojanSpy.Zbot.ynr“砸波”变种ynr是“砸波”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“砸波”变种ynr运行后,会自我复制到被感染系统的“%USERPROFILE%\Application Data\Umepav\”文件夹下,重新命名为“sieki.exe”。在“%USERPROFILE%\Application Data\Ugodz\”文件夹下释放恶意文件“ugzy.upn”。“砸波”变种ynr运行时,会在被感染系统的后台连接骇客指定的站点“http://so*in.ru/qundarilez.bin”。秘密下载恶意程序到被感染系统中并自动调用运行。这些恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。其还会在被感染系统的后台秘密监视用户的键盘和鼠标操作,伺机窃取用户输入的机密信息,并在后台将窃得的信息发送到骇客指定的站点或邮箱中(地址加密存放),给被感染系统用户造成了不同程度的损失。“砸波”变种ynr在运行完成后会创建批处理文件“tmpf935ac9f.bat”并在后台调用执行,以此将自身删除。另外,“砸波”变种ynr会在被感染系统注册表启动项中添加键值,以此实现自动运行。

英文名称:Packed.Klone.ifn

中文名称:“克隆先生”变种ifn

病毒长度:168448字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:0f4d48c042a91df1be16c9c5c43d8ba4

特征描述:

Packed.Klone.ifn“克隆先生”变种ifn是“克隆先生”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“克隆先生”变种ifn运行后,会查找%system32%\drivers目录下是否存在klif.sys文件。创建iexplore.exe进程,加载ntdll.dll,动态获取ZwUnmapViewOfSection函数,利用该函数获取当前进程的基址,申请内存空间,然后会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“twking0.dll”,并设置文件属性为隐藏、系统、只读。自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“twking.exe”。“克隆先生”变种ifn运行时,会在被感染系统的后台连接骇客指定的站点“www.bai*dg3.com/1tw/”,下载恶意程序“at1.rar”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。还会向系统桌面程序“explorer.exe”进程中注入代码,并在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。秘密监视所有正在运行程序的窗口标题,一旦发现标题中存在与安全相关的字符串(如“AVP.AlertDialog”、“AVP.Product_Notification”)便会尝试结束其进程,从而达到自我保护的目的。遍历当前系统中运行的所有进程,如果发现某些指定的安全软件存在,“克隆先生”变种ifn也会尝试将其强行关闭,从而达到自我保护的目的。“克隆先生”变种ifn会在被感染系统注册表启动项中添加键值,以此实现自动运行。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行