华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。
英文名称:Trojan/VBS.zh
中文名称:“VBS傀儡”变种zh
病毒长度:57006字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:0c67dc1187f9d2429f23a2ad853c74db
特征描述:
Trojan/VBS.zh“VBS傀儡”变种zh是“VBS傀儡”家族中的最新成员之一,采用“VBS”脚本语言编写。“VBS傀儡”变种zh运行后,会首先将自身复制到“%SystemRoot%\”文件夹下,重新命名为“utn.vbe”。查找系统内是否安装了“360安全卫士”、“瑞星”、“NOD32”等安全软件,如果未发现则会创建名为“Internet Explorer.ttf”的浏览器快捷方式。通过这个快捷方式启动的IE浏览器会自动访问骇客指定的站点“http://www.ha*23.cc”,从而给骇客带来了非法的经济利益。在当前系统用户的桌面上查找“Internet Explorer.lnk”、“360安全浏览器.lnk”、“傲游浏览器2.lnk”、“搜狗高速浏览器.lnk”,如果找到会将其删除。遍历“%USERPROFILE%\桌面\”、“%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”、“%USERPROFILE%\「开始」菜单\程序\”、“%USERPROFILE%\「开始」菜单\”、“%ALLUSERSPROFILE%\「开始」菜单\”、“%ALLUSERSPROFILE%\「开始」菜单\程序\”、“%ALLUSERSPROFILE%\桌面\”,查找是否存在指定的浏览器。之后会在“%ALLUSERSPROFILE%\「开始」菜单\”、“%ALLUSERSPROFILE%\「开始」菜单\程序\”、“%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”、“%USERPROFILE%\「开始」菜单\”文件夹下创建假冒IE快捷方式“Internet Explorer.ttf”以及“淘宝网购物.dib”、“淘宝打折.dib”、“淘宝热卖.dib”、“网址大全.wiz”、“傲游浏览器2.Max”、“360安全浏览器.se”、“Mozilla Firefox.fox”、“搜狗高速浏览器.sou”等假冒的快捷方式。通过这些快捷方式启动的浏览器会自动访问“http://www.59*88.com/?my”、“http://www.9*8.la”等站点,从而给骇客带来了非法的经济利益。“VBS傀儡”变种zh会隐藏这些快捷方式的扩展名,以此增强迷惑性。还会通过设置访问权限的方式阻止系统用户删除这些快捷方式。另外,“VBS傀儡”变种zh会通过篡改hosts文件的方式屏蔽大量的安全类站点。
英文名称:TrojanDownloader.Generic.abf
中文名称:“通犯”变种abf
病毒长度:15360字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验:caea6505676e1a828e098dee8782b0ac
特征描述:
TrojanDownloader.Generic.abf“通犯”变种abf是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“通犯”变种abf运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意文件“xvhost.sb”。后台连接骇客指定的远程站点“http://to.6*o.cn:8888/jiba/”,下载恶意程序“jj.jpg”和“hh.js”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“通犯”变种abf会在被感染系统注册表启动项中添加键值,以此实现开机自启。
英文名称:TrojanDownloader.Geral.cck
中文名称:“变异体”变种cck
病毒长度:39848字节
病毒类型:木马下载器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:5263f6a0f5e8c557df2073c01117b9c8
特征描述:
TrojanDownloader.Geral.cck“变异体”变种cck是“变异体”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“变异体”变种cck运行后,会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“360data.tmp”。开启“PolicyAgent”服务,然后复制自身到“%SystemRoot%\system32\”文件夹下,重新命名为“kav.exe”。在“%SystemRoot%\system32\”文件夹下释放恶意程序“jxgamepacik.pak”,还会在“%programfiles%\ATI\”和“%SystemRoot%\system32\drivers\”文件夹下释放恶意程序“amdk8.dll”、“amdk8.sys”和“pcidump.sys”。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件存在,“变异体”变种cck便会尝试强行恢复SSDT,致使这些安全软件失去相应功能或自保护。在被感染计算机上收集相关信息,然后在后台调用IE将收集到的信息发送到骇客指定的URL“http://aaa.ip33*33.com:88/z5/count.asp?”。后台连接骇客指定的远程站点“http://aaa.ip33*33.com:88/”,获取恶意程序下载列表,然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“变异体”变种cck会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。
英文名称:TrojanDownloader.Genome.liq
中文名称:“邪恶基因”变种liq
病毒长度:8704字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:eb19c98d554a305371ef9bff5e6b7541
特征描述:
TrojanDownloader.Genome.liq“邪恶基因”变种liq是“邪恶基因”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“邪恶基因”变种liq运行时,会在被感染系统的后台连接骇客指定的远程站点“http://ad.12*qvod.net:8080/12/”,获取恶意程序下载列表,下载恶意程序“cc.exe”、“b2.exe”、“ie2.exe”、“qb2.exe”、“ie.exe”、“xqb.exe”、“sb2.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。其中,恶意程序“b2.exe”运行时会在被感染系统“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“kbeosv.dll”,然后通过“rundll32.exe”调用运行。其还会访问指定的页面“http://ko.q5*7x.com:8080/12/rz12.htm”,以此对被感染计算机数量进行统计。另外,“邪恶基因”变种liq会在被感染系统注册表启动项中添加键值,以此实现开机自启动。
英文名称:TrojanDropper.Vedio.me
中文名称:“唯毒”变种me
病毒长度:26112字节
病毒类型:木马释放器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:dad192ddb20f06b2efa123c3b06eec2c
特征描述:
TrojanDropper.Vedio.me“唯毒”变种me是“唯毒”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“唯毒”变种me运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意DLL组件“kb587721.sve”,之后会将“kb587721.sve”复制到“%programfiles%\Common Files\system\”文件夹下,重新命名为“kb587721.tad”(文件属性设置为“隐藏、存档”)。其会将“%SystemRoot%\system32\olepro32.dll”重命名为“olepro32.dll.dat”,然后向其中写入恶意代码。调用系统DLL组件“sfc_os.dll”中的5号函数,以此关闭Windows文件保护功能。将“%SystemRoot%\system32\dllcache\olepro32.dll”重新命名为“olepro32.dll.JYRJ”,然后将“olepro32.dll.dat”复制到“%SystemRoot%\system32\dllcache\”和“%SystemRoot%\system32\”文件夹下,重新命名为“olepro32.dll”,以此实现替换系统文件。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现“360tray.exe”存在,“唯毒”变种me便会尝试将其强行关闭,从而达到自我保护的目的。“唯毒”变种me是一个专门盗取“QQ华夏”网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题。一旦发现指定程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。“唯毒”变种me的主程序在完成恶意文件释放后会创建批处理文件“tempVidio.bat”并调用运行,以此消除痕迹。
英文名称:Trojan/Swisyn.nuu
中文名称:“广告徒”变种nuu
病毒长度:136192字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:7444990fbb988532007c19a7c88704df
特征描述:
Trojan/Swisyn.nuu“广告徒”变种nuu是“广告徒”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“广告徒”变种nuu运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意ActiveX控件“MSWINSCK.OCX”,之后会调用“%SystemRoot%\system32\regsvr32.exe”进行注册。其还会在“%SystemRoot%\fonts\”文件夹下释放恶意程序“services.exe”并调用运行。“广告徒”变种nuu运行时,会在被感染系统的后台连接骇客指定的远程站点,下载恶意程序并自动调用运行。这些恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。另外,“广告徒”变种nuu在运行完毕后会创建批处理文件“tmp7055475.bat”并调用运行,以此消除痕迹。
英文名称:Trojan/PSW.Frethoq.pe
中文名称:“密匪”变种pe
病毒长度:37200字节
病毒类型:盗号木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:569797d95cb80d7627068fcf412c8ec6
特征描述:
Trojan/PSW.Frethoq.pe“密匪”变种pe是“密匪”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,是一个由其它恶意程序释放的DLL功能组件。“密匪”变种pe运行后,会在被感染计算机的后台遍历当前系统中运行的所有进程。如果发现某些指定的安全软件存在,“密匪”变种pe便会尝试将其强行关闭,从而达到自我保护的目的。调用“sfc_os.dll”中的5号函数,以此关系Windows文件保护功能。将“%SystemRoot%\system32\wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“tmp1.tmp”,然后会向其中添加恶意代码。将“wininet.dll”移动到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“tmp2.tmp”。之后会将“tmp1.tmp”复制到“%SystemRoot%\system32\”文件夹下,重新命名为“wininet.dll”,以此实现替换系统文件的目的。“密匪”变种pe是一个专门盗取“DNFOnline”网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题。一旦发现指定的程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。
英文名称:Backdoor/Cinkel.bn
中文名称:“私客”变种bn
病毒长度:122880字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:dabc1abb8d69717f3e5008cd15ccd3d6
特征描述:
Backdoor/Cinkel.bn“私客”变种bn是“私客”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写。“私客”变种bn运行后,会在“%SystemRoot%”下创建文件夹“Winoows Publje”和“Winoows Publjer”,之后会将自身复制到这两个文件夹中,重新命名为“services.exe”。其还会在“%SystemRoot%\”文件夹下释放注册表文件“1.reg”。在被感染系统的后台定时访问指定的站点,以此提高这些站点的访问量,给骇客带来了非法的经济利益。秘密连接骇客指定的服务器,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。通过“私客”变种bn,骇客可完全远程控制被感染的计算机系统,致使被感染系统用户的个人隐私甚至企业的商业机密面临严重的侵害。另外,“私客”变种bn会在被感染系统“启动”文件夹下创建自身副本,以此实现开机自启。
本文来源:华军资讯 作者:佚名