天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“恶推客”变种jkp

2011-3-15华军资讯佚名

英文名称:Trojan/Antavmu.cbn

中文名称:“伪程序”变种cbn

病毒长度:73900字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:886c04b8aa278d73d61a0d21bbd00555

特征描述:

Trojan/Antavmu.cbn“伪程序”变种cbn是“伪程序”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“伪程序”变种cbn运行后,会自我复制到被感染系统的“%SystemRoot%\system32\Setup\”文件夹下,重新命名为“svchost.exe”。在被感染系统中查找以下服务并尝试更改其配置:Detector de OfficeScanNT、BFE.kl1、IswSvc、UmxCfg、F-Secure Filter、UmxLU、klpf、kmxsbx、kmxids、FSORSPClient、UmxAgent、ISWKL、UmxPol、McAfee FrameworkService、vsdatant、Panda Antivirus、F-Secure HIPS、vsmon、klif、sharedaccess、F-SecureGatekeeper Handler Starter、lnsfw1、FSDFWD、NortonAntivirus Service、F-Secure Recognizer、kmxndis、F-Secure Gatekeeper、SmcService、kmxfw、kmxcfg、kmxage nt、 WinDefend、OutpostFirewall、klpid、kmxfile、fsbts、MpsSvc、sfilter、kmxbig、ZoneAlarm、FSFW、FSMA、Kaspersky Anti-Hacker.lnk.、ZoneAlarm Client、ISW、ZoneLabs Client、AMonitor,从而试图干扰这些软件的正常运行。删除“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”下的键值“SVCHOST.EXE”、“Microsoft System Host”、“Microsoft Service Host”、“MS Service Host”、“System Service Host”、“32 Bit Support”。在被感染系统的后台连接骇客指定的URL“adp*l-3.net/cgi-bin/npr/web/t_riz.cgi?magic=162650400006&ox=2-5-1-2600&tm=60&id=-1&cache=0153359430”,以此对被感染系统进行数量统计。

英文名称:Trojan/Fakeav.hsq

中文名称:“伪杀鬼”变种hsq

病毒长度:30208字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:4581bb14d42f9ffddc2fba14012a5abe

特征描述:

Trojan/Fakeav.hsq“伪杀鬼”变种hsq是“伪杀鬼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“伪杀鬼”变种hsq运行后,会自我复制到被感染计算机系统盘根目录下的“C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8333\”文件夹下,重新命名为“lsvb.exe”。还会在该文件夹下释放配置文件“Desktop.ini”,并将以上文件的属性设置为“系统、隐藏、只读”。遍历当前系统中的所有进程,一旦发现某些安全软件的进程(MSASCui.exe、msseces.exe)存在,便会尝试将其结束,致使系统失去安全软件的保护。将恶意代码插入到“explorer.exe”进程中隐秘运行,以此隐藏自我,防止被轻易地查杀。后台连接骇客指定的远程站点“tf50.te*me.com”,获取配置文件(数据加密,文件内容包括病毒的版本号、更新日期、恶意网站地址等),然后根据其中的设置执行相应的恶意操作。其会将自身作为电子邮件附件发送给指定的E-mail地址,从而实现了自我传播。另外,“伪杀鬼”变种hsq会在被感染系统注册表启动项中添加键值“HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run\Fvbk”,以此实现开机自动运行。

英文名称:TrojanDropper.FrauDrop.nm.nm

中文名称:“释马器”变种nm

病毒长度:1042944字节

病毒类型:木马释放器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:110e1d981417ea0a4449ae389d052eab

特征描述:

TrojanDropper.FrauDrop.nm.nm“释马器”变种nm是“释马器”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“释马器”变种nm运行后,会在当前文件夹下释放恶意文件“enemies-names.txt”和配置文件。在被感染系统的后台连接骇客指定的远程站点“ld*n.in”和“vis*e.in”,下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“释马器”变种nm会释放一个名为“Antimalware Doctor”的恶意软件,“Antimalware Doctor”运行后会自动对系统进行扫描,把正常的系统文件误报为病毒,然后强迫用户注册该恶意软件。用户无法通过任务管理器来结束该软件,其还会屏蔽大多数的安全软件,从而更好的实现自我保护。另外,“释马器”变种nm会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。

英文名称:Backdoor/Cetorp.lv

中文名称:“反调者”变种lv

病毒长度:252928字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:dd864e6a3d29fc11d3912c6b9f7c67d0

特征描述:

Backdoor/Cetorp.lv“反调者”变种lv是“反调者”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“反调者”变种lv运行后,会首先打开文件“\\.\OLLYBONE”、“\\.\FRDTSC”、“\\.\FRDTSCO”、“\\.\EXTREMEHIDE”,查找是否存在名称为“OLLYDBG”或“WispWindowClass”的窗口。遍历所有正在运行的进程,判断当前系统中是否存在“ollydbg”的进程,如果发现指定的窗口或进程便会尝试将其关闭,同时结束自身的运行。删除当前文件夹下的netsf.inf和netsf_m.inf文件,然后创建文件“\\.\rotcetorp”。在“c:\documents and settings \administrator\”文件夹下释放文件“secupdat.dat”、“cxjwu.exe”,在“c:\windows\system32\”文件夹下释放文件“secupdat.dat”,同时将这些文件的属性设置为隐藏。还会和地址“216.246.*.230”进行通讯,接受骇客指令,以便执行更多的恶意操作。创建注册表启动项“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSConfig”,并设置其键值为“c:\documents and settings\adminstrator\cxjwu.exe \u”,以此实现相关恶意程序的自启动。执行完上述恶意操作后,“反调者”变种lv会创建批处理文件并在后台调用运行,以此消除痕迹。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行