华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。
英文名称:Trojan/Fakeav.ve
中文名称:“AV骗子”变种ve
病毒长度:1018368字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:cbe94382b198cd5d59ef8f7ba5be7999
特征描述:
Trojan/Fakeav.ve“AV骗子”变种ve是“AV骗子”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“AV骗子”变种ve运行后,会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Application Data\”文件夹下,重新命名为“030963588.exe”。在被感染系统的后台连接骇客指定的URL“91.216.*.30/cb_soft.php?q=4b524c642afde1390c7f54a695e22ced”,下载恶意程序“SecurityTool”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“SecurityTool”运行后,会将正常的系统文件误报为病毒,然后诱骗用户付费注册。被感染系统用户无法通过任务管理器来将其结束,因此会对用户正常使用电脑造成干扰。其还会屏蔽大量的安全软件,以此实现自我的保护。“AV骗子”变种ve的安装程序在运行结束后会将自身删除,以此消除痕迹。另外,其会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。
英文名称:Trojan/BAT.pw
中文名称:“毒蝙蝠”变种pw
病毒长度:49664字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:f662a6a2cbd7a63e54377d03d39438cb
特征描述:
Trojan/BAT.pw“毒蝙蝠”变种pw是“毒蝙蝠”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“毒蝙蝠”变种pw运行后,会在被感染系统的“D:\soft\bat\v10\”文件夹下释放恶意程序“winnt32.exe”, 在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意批处理程序“win32精简.bat”并调用运行。其会将“winnt32.exe”复制到“%SystemRoot%\repair\”、“%SystemRoot%\system32\”、“%SystemRoot%\system32\1025\”、“%SystemRoot%\”、“%SystemRoot%\Config\shell\”文件夹下,分别重新命名为“winu.exe”、“WinXMLdate.exe”、“internat.exe”、“pat32.exe”、“winopim.exe”。完成上述操作后,原病毒程序会将自身删除,以此消除痕迹。“毒蝙蝠”变种pw会利用系统映像劫持特性阻止“360安全卫士”和“QQ医生”的运行,还会查找“360杀毒”的安装路径,然后尝试通过命令行“taskkill /f /im 360sd.exe”来结束该进程,以此达到自我保护的目的。其会在被感染系统的后台定时访问指定的站点“en.517s*chuan.com”,还会在桌面和IE收藏夹中创建指向“http://www.b*so.cn/js/re.asp?i=2”的垃圾快捷方式,以此提高这些网站的访问量,从而给骇客带来非法的经济利益。其会篡改被感染系统的hosts文件,以此实现对指定站点进行屏蔽的目的,从而降低这些站点的访问量。另外,“毒蝙蝠”变种pw会通过创建计划任务“AT 10”和“AT 20”的方式实现开机自启。
英文名称:Backdoor/Huigezi.bhzt
中文名称:“灰鸽子”变种bhzt
病毒长度:126464字节
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:3c06632b6b7d991c89908d74e191f334
特征描述:
Backdoor/Huigezi.bhzt“灰鸽子”变种bhzt是“灰鸽子”后门家族中的最新成员之一,采用Microsoft Visual C++ 6.0编写。“灰鸽子”变种bhzt运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”目录下,重新命名为“svchest.exe”(文件属性设置为:只读、隐藏、存档)。“灰鸽子”变种bhzt是一个反向连接后门程序,运行后会与骇客指定的服务器“boke*ju.3322.org”进行连接。骇客可任意控制被感染的系统,从而给用户的个人隐私造成了不同程度的侵害。另外,“灰鸽子”变种bhzt会将自身注册成名为“service_name”的系统服务,以此实现开机自动运行。
英文名称:Trojan/PSW.Kykymber.qx
中文名称:“密室大盗”变种qx
病毒长度:58620字节
病毒类型:盗号木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:704d3a4ee5f776e36dccd1df4585dbc2
特征描述:
Trojan/PSW.Kykymber.qx“密室大盗”变种qx是“密室大盗”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理,是一个由其它恶意程序释放出来的DLL功能组件。“密室大盗”变种qx运行时,会首先判断自身是否被插入到被感染系统的“ctfmon.exe”进程中。如果不是则自动退出。后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件存在,“密室大盗”变种qx便会尝试将其强行关闭,以此达到自我保护的目的。其会调用系统DLL组件“sfc_dll”中的5号函数,以此关闭Windows文件保护功能。将%SystemRoot%\system32\文件夹下的“d3d8thk.dll”重新命名为“C:\WINDOWS\system32\d3d8thk.dll.BOAV”,然后将包含恶意代码的“d3d8thk.dll.dat”复制到“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下,重新命名为“d3d8thk.dll”,以此实现替换系统DLL组件的目的。“密室大盗”变种qx是一个专门盗取“大唐无双”网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题。一旦发现指定程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。同时,“密室大盗”变种qx还具有窃取游戏账号密码保护的功能,因此请不要在被感染系统上使用此功能,否则会被不法分子一同盗取。
英文名称:TrojanSpy.Zbot.sil
中文名称:“砸波”变种sil
病毒长度:152064字节
病毒类型:间谍木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:bfca6966bd363acdac0f45a760543cf7
特征描述:
TrojanSpy.Zbot.sil“砸波”变种sil是“砸波”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“砸波”变种sil运行后,会在被感染系统中创建目录“%USERPROFILE%\Application Data\Aroweg\”,然后在其中释放恶意程序“hyer.exe”。还会在“%USERPROFILE%\Application Data\Icikno\”文件夹下释放恶意程序“gas”。其会将恶意代码插入到系统桌面程序“explorer.exe”中加载运行,并在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。“砸波”变种sil运行时,会在被感染系统的后台秘密监视用户的键盘输入,窃取用户输入的账号及密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点或邮箱里(地址加密存放),从而给被感染系统用户造成了不同程度的损失。其还会在被感染系统的后台连接骇客指定的远程站点“o*ime.asia/”,下载恶意程序并自动调用运行。这些恶意程序可能是网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。另外,“砸波”变种sil的主安装程序在安装完成后会创建批处理文件“tmp67fce805.bat”并调用运行,以此消除痕迹。
英文名称:TrojanDownloader.Selvice.hm
中文名称:“塞沃斯”变种hm
病毒长度:32768字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:06b53f829acd23af44a91e8df53f061b
特征描述:
TrojanDownloader.Selvice.hm“塞沃斯”变种hm是“塞沃斯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“塞沃斯”变种hm运行时,会在被感染系统的后台连接骇客指定的远程站点“http://www.baidu*.cn/nba/”,下载恶意程序“image.jpg”到被感染计算机的“%SystemRoot%\system32\”目录下,重新命名为“mbkfdzs.exe”。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。其还会在“%SystemRoot%\system32\”文件夹下释放恶意批处理程序“sbrajh.bat”和“tciuuie.bat”。执行完上述恶意操作后,“塞沃斯”变种hm会创建批处理程序“sbrajh.bat”并调用运行,以此消除痕迹。
本文来源:华军资讯 作者:佚名