天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“密室大盗”变种qw

2010-11-18华军资讯佚名

英文名称:Trojan/Sasfis.kny

中文名称:“萨斯风”变种kny

病毒长度:527360字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:8a1854627f9834c1020581813a9cd287

特征描述:

Trojan/Sasfis.kny“萨斯风”变种kny是“萨斯风”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“萨斯风”变种kny运行后,会在被感染系统的“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下释放文件“2012.txt”。自我复制到被感染系统的“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下,重新命名为“清理系统垃圾.bat”,以此实现自动运行。其还会向被感染系统的“%SystemRoot%\system32\mmc.exe”文件中添加恶意代码。“萨斯风”变种kny属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的远程站点“as*ql.3322.org”,获取客户端的IP地址,然后侦听骇客指令,从而达到被远程控制的目的。该木马具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除用户计算机中存放的文件,从而对用户的个人隐私甚至是商业机密构成严重的威胁。另外,骇客还可以操纵被感染系统对指定站点发起DDoS攻击、洪水攻击等,从而对互联网的信息安全构成更大的威胁。

英文名称:Trojan/Cosmu.eob

中文名称:“异鬼”变种eob

病毒长度:70144字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:5abf7449177ed4dc09d6a7fc0993a616

特征描述:

Trojan/Cosmu.eob“异鬼”变种eob是“异鬼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“异鬼”变种eob运行后,会在被感染计算机的系统盘根目录下释放恶意程序“ugn32x.exe”并调用运行(系统重启后“ugn32x.exe”会被重新命名为“NULL”,并且会在系统盘根目录下创建“TSTP”目录并在其中释放恶意程序“winlogon.exe”)。在被感染系统的后台定时访问指定的恶意站点“http://lovechina.b*444.com/GoGoGo888.ashx?Mac=”,以此提高这些网站的访问量(网络排名),给骇客带来了非法的经济利益。删除桌面上的IE浏览器快捷方式,然后会创建假冒的IE快捷方式。通过这个快捷方式启动的IE浏览器会自动访问骇客指定的站点“i.16*vv.com/?80”。其还会在桌面上创建指向“http://888.qq*33.com/”、“http://888.qq2233.com/”、“http://888.qq*33.com/taobao.htm”的Internet快捷方式,从而诱导用户对这些站点进行访问。“异鬼”变种eob会在被感染系统的后台遍历正在运行的所有程序,一旦发现某些指定的安全软件存在,“异鬼”变种eob便会尝试将其强行关闭,以此达到自我保护的目的。其还会破坏被感染系统的“隐藏受保护的操作系统文件”功能,以此更好地进行自我隐藏。另外,其会在开始菜单“启动”文件夹下添加名为“TSPS”的快捷方式(指向恶意程序“ugn32x.exe”),以此实现开机自动运行。

英文名称:Trojan/PSW.Kykymber.qy

中文名称:“密室大盗”变种qy

病毒长度:60668字节

病毒类型:盗号木马

危险级别:★

影响平台:Win 2000/XP/2003/VISTA/2008/WIN7

MD5 校验:9c02a7392f8fea1c25cceb7d0c6c65e2

特征描述:

Trojan/PSW.Kykymber.qy“密室大盗”变种qy是“密室大盗”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理,是一个由其它恶意程序释放出来的DLL功能组件。“密室大盗”变种qy运行时,会首先判断自身是否被插入到“ctfmon.exe”进程中,如果不是则退出运行。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件存在,“密室大盗”变种qy便会将其强行关闭,以此达到自我保护的目的。调用系统DLL组件“sfc_dll”中的5号函数,以此关闭Windows文件保护功能。将%SystemRoot%\system32\dnsapi.DLL”重新命名为“C:\WINDOWS\system32\dnsapi.DLL.UKPP”,之后会将恶意DLL组件“dnsapi.DLL.dat”复制到“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下,分别重新命名为“dnsapi.DLL”。“密室大盗”变种qy是一个专门盗取“qq幻想世界”网络游戏会员账号的木马程序,其会在被感染系统的后台秘密监视正在运行程序的窗口标题。一旦发现指定程序正在运行,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。“密室大盗”变种qy还具有窃取玩家游戏账号密码保护的功能,因此当游戏玩家发现自己的游戏账号被盗时,请千万不要在被感染的计算机上找回游戏密码,否则会连同密码保护资料一同被骇客盗取,从而造成更多的损失。

英文名称:Packed.Black.qwb

中文名称:“黑点”变种qwb

病毒长度:375808字节

病毒类型:木马

危险级别:★

影响平台:Win 2000/XP/2003/VISTA/2008/WIN7

MD5 校验:73d241d46dd66f2409c4879457c70dfb

特征描述:

Packed.Black.qwb“黑点”变种qwb是“黑点”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“黑点”变种qwb运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下重新命名为“giavvk.exe”。“黑点”变种qwb属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的远程站点“ki*df.3322.org”,获取客户端的IP地址,然后侦听骇客指令,以此达到被骇客远程控制的目的。该木马具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。其还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“黑点”变种qwb的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外,“黑点”变种qwb会在被感染计算机中注册名为“rcmdsvc”的系统服务,以此实现开机自动运行。

英文名称:TrojanDropper.Vedio.hk

中文名称:“唯毒”变种hk

病毒长度:28672字节

病毒类型:木马释放器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:e7613c4b2bf1bdc8f0d8805ee3db2b8e

特征描述:

TrojanDropper.Vedio.hk“唯毒”变种hk是“唯毒”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“唯毒”变种hk运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意DLL组件“kb951492.sve”,然后会将其复制到“%programfiles%\Common Files\system\”文件夹下,重新命名为“kb951492.axe”(文件属性设置为“隐藏、存档”)。其会将“%SystemRoot%\system32\d3d8thk.dll”重新命名为“d3d8thk.dll.dat”,然后向其中添加恶意代码。调用系统文件“sfc_os.dll”中的5号函数,以此关闭Windows文件保护功能。之后,其会将“%SystemRoot%\system32\dllcache\d3d8thk.dll”重新命名为“d3d8thk.dll.HPAQ”,然后将“d3d8thk.dll.dat”复制到%SystemRoot%\system32\dllcache\”和“%SystemRoot%\system32\”文件夹下,重新命名为“d3d8thk.dll”。执行完上述操作后,原病毒程序会释放批处理程序“tempVidio.bat”并调用运行,以此消除痕迹。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现“360tray.exe”存在,“唯毒”变种hk便会尝试将其强行关闭,从而达到自我保护的目的。“唯毒”变种hk是一个专门盗取“龙之谷”网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题。一旦发现指定程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行