天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:警惕“卡朵”变种dx

2011-4-2华军资讯佚名

华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。另外在此提醒您,及时更新病毒库和为系统打上最新补丁对于保护电脑安全非常重要,建议定期更新杀软病毒库,关注安全漏洞新闻。

英文名称:TrojanSpy.Zbot.znd

中文名称:“砸波”变种znd

病毒长度:606208字节

病毒类型:间谍木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:cbcdf934cb85d53708761076df59fac7

特征描述:

TrojanSpy.Zbot.znd“砸波”变种znd是“砸波”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“砸波”变种znd运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“sdra64.exe”。还会在被感染系统的“%SystemRoot%\system32\lowsec”文件夹下释放恶意文件“user.ds”、“user.ds.lll”、“local.ds”,并将以上文件的属性设置为“系统、隐藏、存档”。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件(“outpost.exe”、“zlclient.exe”)存在,“砸波”变种znd便会尝试将其强行关闭,从而达到自我保护的目的。“砸波”变种znd运行时,会在被感染系统的后台秘密监视用户的键盘和鼠标操作,伺机窃取用户输入的机密信息,并在后台将窃得的信息发送到骇客指定的站点或邮箱中(地址加密存放),给被感染计算机用户造成了不同程度的损失。还会查找是否存在“winlogon.exe”、“svchost.exe”、“explorer.exe”,找到后则打开进程获取模块句柄、获取进程绝对路径判断是否是该病毒要查找的文件路径,若不是则关闭句柄,若是则申请内存空间并从病毒体00400000为起始地址向以上进程中写入数据。其还会在被感染系统的后台连接骇客指定的URL“www.bar*uxa.info/images/swf5.bin”。“砸波”变种znd会通过发送垃圾邮件的方式进行自身的传播。另外,其会通过在被感染系统注册表启动项中添加键值、修改登陆初始化内容等多种方式来实现自动运行。

英文名称:TrojanDropper.Cadro.dx

中文名称:“卡朵”变种dx

病毒长度:65536字节

病毒类型:木马释放器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:22fab6e4e6a1dfba251beeb5421dd2fa

特征描述:

TrojanDropper.Cadro.dx“卡朵”变种dx是“卡朵”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“卡朵”变种dx运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\angls46r\”文件夹下释放恶意文件“tmp.exe”、“s.exe”,然后把“tmp.exe”、“s.exe”移动到“%SystemRoot%\temp\”和“%SystemRoot%\system32\”文件夹下并在后台调用运行。“tmp.exe”运行时,会在被感染系统的后台连接骇客指定的站点“8475.770*23.cn”、“60.217.*.138”、“sp.dem*en.com”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“卡朵”变种dx属于某恶意程序集合中的部分功能组件,如感染此病毒,则说明当前计算机系统中还感染了其它的病毒程序。另外,“卡朵”变种dx会在开始菜单“启动”文件夹下添加名为“ktv.lnk”的快捷方式(指向自身副本),以此实现自动运行。

英文名称:Trojan/PSW.Frethoq.wv

中文名称:“密匪”变种wv

病毒长度:55452字节

病毒类型:盗号木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:0f27f01db25578e94b660d330d2380c0

特征描述:

Trojan/PSW.Frethoq.wv“密匪”变种wv是“密匪”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“密匪”变种wv运行时,会在被感染系统的后台连接骇客指定的站点“http://119.147.*.213:91/list/”,读取配置文件“list.txt”,然后根据其中的设置下载恶意程序“guoqu.exe”、“1022.exe”、“100144.exe”、“101.exe”、“me2434_exe.exe”、“summer.exe”、“pi3731.exe”、“ssss.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了不同程度的威胁。在被感染计算机系统安装“风行网络电视”、“呱呱歌舞视频”、“PPTV网络电视 ”等软件,为指定软件增加了装机量。强行篡改被感染计算机IE浏览器的属性,设置IE浏览器默认主页为骇客指定站点“http://www.b*y.net/?100144”,致使用户在开启IE浏览器后会自动访问该站点,从而为其增加了访问量,给骇客带来了非法的经济利益。还会在桌面创建快捷方式“免费电影C”、“改变你的一生”、“淘宝购物A”、“风行网络电视”、“呱呱歌舞视频 ”、“PPTV网络电视”,分别指向骇客指定的网站。另外,“密匪”变种wv会通过在被感染系统注册表启动项中添加新键、创建浏览器辅助对象、修改登陆初始化内容等多种方式来实现自动运行。

英文名称:TrojanDropper.Flystud.ayw

中文名称:“苍蝇贼”变种ayw

病毒长度:1410861字节

病毒类型:木马释放器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:314189107d58928f0fdba644231e5b52

特征描述:

TrojanDropper.Flystud.ayw“苍蝇贼”变种ayw是“苍蝇贼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“苍蝇贼”变种ayw运行后,会自我复制到被感染系统的“C:\WINDOWS\system32\ACF7EF”文件夹下,重新命名为“74BE16.EXE”。在开始菜单[启动]文件夹中添加名为“74BE16”的快捷方式(指向自身副本),以此实现开机自启。“苍蝇贼”变种ayw运行后,会在被感染系统的“C:\WINDOWS\system32\5A8DCC”和“C:\Documents and Settings\Administrator\Local Settings\TempE_N4”文件夹下分别释放易语言运行库“dp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fne”、“cnvpe.fne”、“shell.fne”等。在

“C:\WINDOWS\system32”文件夹下创建空目录0F6226、76682F,用于记录指定数据。秘密搜集用户数据,并将相关信息发送到骇客指定的远程站点,从而给用户造成了不同程度的损失。还可能从骇客指定的远程站点下载恶意程序并自动调用运行,其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“苍蝇贼”变种ayw可通过U盘进行传播。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行