天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“密室大盗”变种pi

2010-12-1华军资讯佚名

英文名称:Trojan/PSW.Frethoq.qo

中文名称:“密匪”变种qo

病毒长度:45552字节

病毒类型:盗号木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:acb633104e028459214a0d0b2d147c0f

特征描述:

Trojan/PSW.Frethoq.qo“密匪”变种qo是“密匪”家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件。“密匪”变种qo运行后,会首先判断自身名称是否为“KsUser.DLL”,若不是则退出运行。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件存在,“密匪”变种qo便会尝试将其强行关闭,以此达到自我保护的目的。“密匪”变种qo运行后,会调用系统文件“sfc_os.dll”中的5号函数,以此关闭Windows文件保护功能。将“%SystemRoot%\system32\imm32.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“tmpC.tmp”,然后会向其中写入恶意代码。将“imm32.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“tmpD.tmp”。之后,其会将“tmpC.tmp”复制到“%SystemRoot%\system32\”文件夹下,重新命名为“imm32.dll”,以此实现替换系统DLL组件。“密匪”变种qo是一个专门盗取“天龙八部”网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题。一旦发现指定程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。

英文名称:Backdoor/Wuca.nd

中文名称:“舞客”变种nd

病毒长度:16928字节

病毒类型:后门

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:8a86276e68ced9b3d571d443f92e2718

特征描述:

Backdoor/Wuca.nd“舞客”变种nd是“舞客”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“舞客”变种nd运行后,会读取被感染系统“%SystemRoot%\system32\config\”文件夹下的“default”,之后执行命令“cmd /c taskkill /im cfmon.exe /f”,以此结束“cfmon.exe”的进程。创建文件夹“%programfiles%\Common Files\%SESSIONNAME%”,设置该文件夹的属性为“系统、隐藏”,之后会将自身复制到该文件夹下,重新命名为“conlme.exe”,并且向其中添加恶意代码并调用运行。其会在被感染系统的后台连接骇客指定的远程站点“d.qq16*00.com”,下载恶意程序“b.jpg”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“舞客”变种nd运行时,还会强行设置IE浏览器的默认主页为骇客指定站点“http://www.588*000.com/”,致使用户在打开IE浏览器后便会自动连接到该站点,以此增加其访问量,从而给骇客带来了非法的经济利益。执行完上述行为后,“舞客”变种nd会将自我删除,以此消除痕迹。另外,其会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称:TrojanDropper.Vedio.gc

中文名称:“唯毒”变种gc

病毒长度:27680字节

病毒类型:木马释放器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:9075b428fde5e227b14838b860d54bb9

特征描述:

TrojanDropper.Vedio.gc“唯毒”变种gc是“唯毒”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“唯毒”变种gc运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意DLL组件“kb123351.gon”,然后将其复制到“%programfiles%\Common Files\system\”文件夹下,重新命名为“kb123351.CNT”(文件属性设置为“隐藏、存档”)。其会将“%SystemRoot%\system32\d3d8thk.dll”重新命名为“d3d8thk.dll.dat”,并且向其中写入恶意代码。调用系统DLL组件“sfc_os.dll”中的5号函数,以此关闭Windows文件保护功能。将“%SystemRoot%\system32\dllcache\”文件夹下的“d3d8thk.dll”重新命名为“d3d8thk.dll.QQAS”,然后将包含恶意代码的DLL组件“d3d8thk.dll.dat”分别复制到“%SystemRoot%\system32\dllcache\”和“%SystemRoot%\system32\”文件夹下,重新命名为“d3d8thk.dll”。执行完上述操作后,原病毒程序会创建批处理文件“tempVidio.bat”并调用运行,以此消除痕迹。在被感染计算机的后台遍历当前正在运行的所有进程,如果发现“360tray.exe”存在,便会尝试将其强行关闭,以此达到自我保护的目的。“唯毒”变种gc是一个专门盗取“大唐无双”网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视指定的应用程序,并且利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,同时会在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。

英文名称:Trojan/Chifrax.bzl

中文名称:“橘色诱惑”变种bzl

病毒长度:302180字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:ee5845518be6a830838ad26204b07793

特征描述:

Trojan/Chifrax.bzl“橘色诱惑”变种bzl是“橘色诱惑”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“橘色诱惑”变种bzl运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\IXP000.TMP\”文件夹下释放恶意程序“dl.exe”。恶意程序“dl.exe”运行时,会在被感染系统的后台连接骇客指定的远程站点“updaters.c*dec.info”,下载恶意程序“lx.zip”、“cm.zip”、“vc.zip”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“橘色诱惑”变种bzl会在被感染系统注册表启动项中添加键值,以此实现开机自启。

英文名称:Trojan/VBS.yy

中文名称:“VBS傀儡”变种yy

病毒长度:43012字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:04923f415ab2998faf737093915816e2

特征描述:

Trojan/VBS.yy“VBS傀儡”变种yy是“VBS傀儡”家族中的最新成员之一,采用“VBS”脚本语言编写。“VBS傀儡”变种yy运行后,会篡改IE浏览器的首页为骇客指定站点“www.h*l23.cc”,以此为其增加访问量。在当前系统用户的桌面上查找“Internet Explorer.lnk”、“360安全浏览器.lnk”、“傲游浏览器2.lnk”、“搜狗高速浏览器.lnk”,如果找到会将其删除。遍历“%USERPROFILE%\桌面\”、“%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”、“%USERPROFILE%\「开始」菜单\程序\”、“%USERPROFILE%\「开始」菜单\”、“%ALLUSERSPROFILE%\「开始」菜单\”、“%ALLUSERSPROFILE%\「开始」菜单\程序\”、“%ALLUSERSPROFILE%\桌面\”,查找是否存在指定的浏览器。之后会在“%ALLUSERSPROFILE%\「开始」菜单\”、“%ALLUSERSPROFILE%\「开始」菜单\程序\”、“%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”、“%USERPROFILE%\「开始」菜单\”文件夹下创建假冒IE快捷方式“Internet Explorer.ttf”以及“淘宝网购物.dib”、“淘宝打折.dib”、“淘宝热卖.dib”、“网址大全.wiz”、“傲游浏览器2.Max”、“360安全浏览器.se”、“Mozilla Firefox.fox”、“搜狗高速浏览器.sou”等假冒的快捷方式。通过这些快捷方式启动的浏览器会自动访问“http://www.59*88.com/?my”、“http://www.9*8.la”等站点,从而给骇客带来了非法的经济利益。另外,“VBS傀儡”变种yy会隐藏这些快捷方式的扩展名,以此增强迷惑性。其还会通过设置访问权限的方式阻止系统用户删除这些快捷方式。

英文名称:TrojanDownloader.Generic.zi

中文名称:“通犯”变种zi

病毒长度:16384字节

病毒类型:木马下载器

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003/VISTA

MD5 校验:9b6f64e7e8bd1ed4bb90fb7e614b08f5

特征描述:

TrojanDownloader.Generic.zi“通犯”变种zi是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“通犯”变种zi运行后,会自我复制到被感染系统的“%programfiles%\Windows Media Player\”文件夹下,重新命名为“Media.exe”。“通犯”变种zi运行后,会将释放的恶意文件插入到系统桌面程序“explorer.exe”进程中加载运行,同时在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。“通犯”变种zi运行时,会在被感染系统的后台连接骇客指定的远程站点“http://www.ge*lete.cn:89/”,下载配置文件“so.txt”至“%programfiles%\Internet Explorer\”文件夹下,重新命名为“Temp.txt”,然后会根据其中的设置下载恶意程序“ma0.exe”、“ma4.exe”等并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“通犯”变种zi会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行