天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“克隆先生”变种gky

2010-12-16华军资讯佚名

英文名称:Packed.Klone.gky

中文名称:“克隆先生”变种gky

病毒长度:156672字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:d977c673e474119618b5856e28df0037

特征描述:

Packed.Klone.gky“克隆先生”变种gky是“克隆先生”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“克隆先生”变种gky运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“wowst0.dll”,还会将自身复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“wowst.exe”(文件属性设置为“系统、隐藏、只读”)。“克隆先生”变种gky运行时,会将恶意代码插入到系统桌面程序“explorer.exe”进程中隐秘运行,同时在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。其会通过尝试恢复系统服务描述表(SSDT)的方式,试图干扰安全软件的正常运行。自动模拟点击某安全软件弹出窗口中的“跳过”和“允许”按钮,以此达到绕过监控的目的。后台连接骇客指定的URL,下载恶意程序并自动调用运行。这些恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。“克隆先生”变种gky在运行完成后会将自身删除,以此消除痕迹。另外,其会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称:TrojanDownloader.Mufanom.hqd

中文名称:“魔法木马”变种hqd

病毒长度:77824字节

病毒类型:木马下载器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:88caadfbea258245b4a32948049a95c8

特征描述:

TrojanDownloader.Mufanom.hqd“魔法木马”变种hqd是“魔法木马”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“魔法木马”变种hqd运行后,会在被感染系统的“%SystemRoot%\”文件夹下释放恶意DLL组件“dsingnc.dll”。其会将释放的恶意DLL组件插入到系统桌面程序“explorer.exe”的进程中隐秘运行,同时在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。“魔法木马”变种hqd运行时,会在被感染系统的后台连接骇客指定的远程服务器“041907da092c.ko*lda.com/get2.php?”,获取恶意程序下载列表,然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“魔法木马”变种hqd会将自身注册为系统服务,以此实现开机自动运行。

英文名称:Trojan/Generic.bwiy

中文名称:“通犯”变种bwiy

病毒长度:184384字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:f25f251c5075577e5f233671159b7bee

特征描述:

Trojan/Generic.bwiy“通犯”变种bwiy是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“通犯”变种bwiy运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意程序“xvonmt.exe”和恶意批处理程序“gmokar.bat”、“ipxagkvw.bat”。其中,“xvonmt.exe”运行后,会在“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“uwfnnsr.dll”和恶意驱动程序“mmiqsk.sys”,在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“zusuccj.sys”。后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件存在,“通犯”变种bwiy便会尝试将其强行关闭,以此达到自我保护的目的。在被感染系统的后台连接骇客指定的远程服务器“www.ye*mao.com”,获取恶意程序下载列表,然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。其还会强行设置IE浏览器的默认主页为骇客指定站点“go2000.cn”、“go2000.com”、“qq5.com”、“1188.com”、“365j.com”(其中的任意一个),致使用户在开启浏览器后便会自动访问这些站点,从而为其增加了访问量,给骇客带来了非法的经济利益。“通犯”变种bwiy在执行完成之后会将自身删除,以此消除痕迹。其还会通过创建名为“ksdrv”的服务的方式实现开机自启。

英文名称:Trojan/Staget.ed

中文名称:“斯塔格”变种ed

病毒长度:99074字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:1ae1f1f89ec874485b419d1a202f0f9b

特征描述:

Trojan/Staget.ed“斯塔格”变种ed是“斯塔格”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“斯塔格”变种ed运行后,会首先尝试结束进程“zhongdongfangyu.exe”。在被感染系统的“%programfiles%\ComPlus Applications\”文件夹下释放恶意程序“takesoft.exe”并调用运行,还会在该文件夹下释放大量图标文件。强行篡改“hosts”文件,以此屏蔽某些安全站点。在桌面上创建指向“http://www.man*123.com/taobao/”的快捷方式,以此诱导用户对其进行访问,从而给骇客带来了非法的经济利益。另外,其会访问骇客指定的URL“http://www.1*google.cn/tjjjj/get.asp”,以此对被感染系统进行数量统计。“斯塔格”变种ed在运行完成之后会将自身删除,以此达到消除痕迹的目的。

英文名称:Trojan/VBS.yh

中文名称:“VBS傀儡”变种yh

病毒长度:4144字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:662f6f4396247e15022e2a1d549420b4

特征描述:

Trojan/VBS.yh“VBS傀儡”变种yh是“VBS傀儡”家族中的最新成员之一,采用“VBS”脚本语言编写,经过加密保护处理。“VBS傀儡”变种yh运行后,会在被感染系统的后台连接骇客指定的远程站点“www.wi*sd.cn/img/index_bn/”、“www.wi*sd.cn/img/index_bn/”、“www.wi*sd.cn/img/index_bn/”、“www.wi*sd.cn/img/index_bn/”,下载恶意程序“1.vbs”、“chajian1.exe”、“chajian2.exe”、“chajian3.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。在被感染系统的“%programfiles%\”文件夹下释放恶意程序“cj2.exe”,还会在系统盘根目录下创建名为“sn”的文件夹并在其中释放恶意程序“smss.exe”。删除桌面上的IE浏览器图标,然后创建假冒的IE浏览器快捷方式。通过这个快捷方式启动的IE浏览器会自动访问骇客指定的站点“http://d*o.online.cq.cn/?my=632”,从而为其增加了访问量,给骇客带来了非法的经济利益。其还会在桌面上创建恶意脚本文件“Internet Explorer.css”、“导航网址.shb”、“购物导航.bt”,从而对指定站点进行推广。“VBS傀儡”变种yh运行时,会在被感染系统中定时弹出恶意广告网页或恶意广告条窗口,从而对被感染系统用户造成不同程度的干扰。另外,其还会通过在被感染系统注册表启动项中添加键值,或者在启动文件夹中创建主程序等方式实现开机自动运行。

英文名称:Trojan/Invader.bey

中文名称:“入侵者”变种bey

病毒长度:116224字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:0bcbf0cad028c8637075ce325fc3e4be

特征描述:

Trojan/Invader.bey“入侵者”变种bey是“入侵者”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“入侵者”变种bey运行后,会自我复制到被感染系统的“%USERPROFILE%\”文件夹下,重新命名为“yeawl.exe”。将恶意代码插入到系统桌面程序“explorer.exe”进程中隐秘运行,同时在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。修改注册表相关键值,取消系统托盘中网络连接图标的显示。“入侵者”变种bey属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的远程站点“jebena.ana*kolic.su”,获取客户端真实的IP地址,然后侦听骇客指令,从而达到被远程控制的目的。该后门具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“入侵者”变种bey的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外,“入侵者”变种bey还会向“g.nba1*1.com:6969”反馈被感染系统的TCP端口信息。

英文名称:Backdoor/Cinkel.aw

中文名称:“私客”变种aw

病毒长度:135168字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:b12eabc3dbb4244742751202aa0eebd4

特征描述:

Backdoor/Cinkel.aw“私客”变种aw是“私客”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写。“私客”变种aw运行后,会在被感染系统的后台连接骇客指定的远程站点,下载恶意程序到“%ProgramFiles%\MISNST 7.1\”下重新命名为“services.exe”,之后自动调用运行。连接“f.y*n21.com/cai/”,下载恶意程序“services.exe”至“%ProgramFiles%\mirsoft\”下,重新命名为“services.exe”。访问“qq52*2677.blog.hexun.com/41162650_d.html”,以此对被感染系统进行数量统计。在被感染系统的后台定时访问指定的站点,以此提高这些网站的访问量(网络排名),从而给骇客带来了非法的经济利益。“私客”变种aw会在开始菜单“启动”文件夹下创建名为“win”的快捷方式(指向后门程序“services.exe”),以此实现开机自动运行。

英文名称:Trojan/Pincav.hng

中文名称:“恶推客”变种hng

病毒长度:29696字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:6e1917ffed617909c6e272995276095e

特征描述:

Trojan/Pincav.hng“恶推客”变种hng是“恶推客”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“恶推客”变种hng运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”和“%USERPROFILE%\”文件夹下,重新命名为“wuaucldt.exe”。将恶意代码插入到系统程序“svchost.exe”进程中隐秘运行,同时在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。“恶推客”变种hng运行时,会在被感染系统的后台连接骇客指定的远程站点,下载恶意程序并自动调用运行。这些恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。运行完成后,原病毒程序会将自身删除,以此达到消除痕迹的目的。另外,“恶推客”变种hng会在被感染系统注册表启动项中添加键值,以此实现开机自启。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行