英文名称:Trojan/Fakeav.hvw
中文名称:“伪杀鬼”变种hvw
病毒长度:30208字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:b8f4ac521d98ae8cca727cb6aef4d6bf
特征描述:
Trojan/Fakeav.hvw“伪杀鬼”变种hvw是“伪杀鬼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“伪杀鬼”变种hvw运行后,会自我复制到被感染计算机系统盘根目录下的“S-1-5-21-0243556031-888888379-781863308-1343\”文件夹下,重新命名为“jwjqa.exe”。还会在该文件夹下释放配置文件“Desktop.ini”,并将以上文件的属性设置为“系统、隐藏、只读”。遍历当前系统中的所有进程,一旦发现某些安全软件的进程(MSASCui.exe、msseces.exe)存在,便会尝试将其结束,致使系统失去安全软件的保护。将恶意代码插入到“explorer.exe”进程中隐秘运行,以此隐藏自我,防止被轻易地查杀。后台连接骇客指定的远程站点“tf18.tef*ame.com”,获取配置文件(数据加密,文件内容包括病毒的版本号、更新日期、恶意网站地址等),然后根据其中的设置执行相应的恶意操作。其会将自身作为电子邮件附件发送给指定的E-mail地址,从而实现了自我传播。另外,“伪杀鬼”变种hvw会在被感染系统注册表启动项中添加键值“HKEY_CURRENT_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman”,以此实现开机自动运行。
英文名称:Trojan/PSW.Bjlog.bcz
中文名称:“绑架犯”变种bcz
病毒长度:225988字节
病毒类型:盗号木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:a28e42730212fc69bf61f73004419617
特征描述:
Trojan/PSW.Bjlog.bcz“绑架犯”变种bcz是“绑架犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“绑架犯”变种bcz运行后,会自我复制到被感染计算机系统的指定文件夹下,重新命名为“fnunshqpxr”。之后向“fnunshqpxr”中添加恶意代码,并在后台调用命令运行。“绑架犯”变种bcz会在被感染系统的后台连接骇客指定的远程站点“ww*uhu.3322.org”,获取客户端IP地址,侦听骇客指令,从而达到被骇客远程控制的目的。其具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“绑架犯”变种bcz的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外,其还会对指定网站进行访问。“绑架犯”变种bcz在运行完成后会将自身删除,以此消除痕迹。
英文名称:Trojan/Pincav.jkp
中文名称:“恶推客”变种jkp
病毒长度:108032字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:c0d1e0dcbe1e767a4fc0a7e45683f1af
特征描述:
Trojan/Pincav.jkp“恶推客”变种jkp是“恶推客”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“恶推客”变种jkp运行后,会自我复制到被感染系统的“%USERPROFILE%\Application Data”文件夹下,重新命名为“nlwyet.exe”(文件属性设置为“系统、隐藏、只读”)。“恶推客”变种jkp属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的远程站点“jebena.an*kolic.su”、“peer.picke*sarske.ru”、“teske.por*carke.com”、“92.241.*.237”、“juice.losmi*cala.org”,获取客户端IP地址,侦听骇客指令,从而达到被远程控制的目的。该木马具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的信息安全、个人隐私甚至是商业机密构成严重的威胁。感染了“恶推客”变种jkp的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外,“恶推客”变种jkp会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。
英文名称:TrojanSpy.Zbot.ycv
中文名称:“砸波”变种ycv
病毒长度:123904字节
病毒类型:间谍木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:8b45fefdbf94c9fc9ae973de7f6a72fb
特征描述:
TrojanSpy.Zbot.ycv“砸波”变种ycv是“砸波”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“砸波”变种ycv运行后,会自我复制到被感染系统的“%USERPROFILE%\Application Data\Hitea\”文件夹下,重新命名为“ozza.exe”。还会在“%USERPROFILE%\Application Data\Nuila\”文件夹下释放恶意文件“golaw.tmp”。“砸波”变种ycv运行时,会在被感染系统的后台秘密监视用户的键盘输入,窃取用户输入的账号及密码等机密信息,并在后台将窃得的信息发送到骇客指定的远程站点“officeu*tes0.com”,给被感染计算机用户造成了不同程度的损失。后台连接骇客指定的远程服务器站点,下载恶意程序并自动调用运行。其下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。“砸波”变种ycv在被感染计算机系统中安装完毕后,会通过创建批处理文件“tmp9f6382a3.bat”并调用执行的方式来将自身删除,以此消除痕迹。另外,其会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。
本文来源:华军资讯 作者:佚名