5月4日病毒播報:需謹慎防范偽程序”變種chm和“系統殺手”變種bmh
中國IDC評述網05月04日報道:在今天的病毒里,需要謹慎防范“偽程序”變種chm和“系統殺手”變種bmh。
英文名稱:Trojan/Antavmu.chm
中文名稱:“偽程序”變種chm
病毒長度:58028字節
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:9d679c4f833462dc355d471cf918f7a6
特征描述:
Trojan/Antavmu.chm“偽程序”變種chm是“偽程序”家族中的最新成員之一,采用高級語言編寫,經過加殼保護處理。“偽程序”變種chm運行后,會讀取指定文件“CONIN$”和“CONOUT$”。自我復制到被感染系統的“%SystemRoot%system32Setup”文件夾下,重新命名為“svchost.exe”。然后打開服務:“ FSMA”、“FSFW”、“ZoneAlarm”、“kmxbig”、“sfilter”、“MpsSvc”、“fsbts”、“kmxfile”、“klpid”、“OutpostFirewall”、“WinDefend”、“kmxagent”、“kmxcfg”、“kmxfw”、“SmcService”、“F-Secure Gatekeeper”、“kmxndis”、“F-Secure Recognizer”、“Norton Antivirus Service”、“ FSDFWD”、“lnsfw1”、“F-Secure Gatekeeper Handler Starter”、“sharedaccess”、“klif”、“vsmon”、“F-Secure HIPS”、“Panda Antivirus”、“vsdatant”、“McAfee Framework Service”、“UmxPol”等。搜索注冊表,刪除大多數安全軟件的啟動項鍵值,從而達到自我保護的目的。“偽程序”變種chm運行時,會在被感染系統的后臺連接駭客指定的URL“ntci*ndation.ca/aff/script.php?magic=437153110006&ox=2-5-1-2600&tm=60&id=-1&cache=0826356259”,秘密下載惡意程序到被感染系統中并自動調用運行。這些惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,會給用戶造成不同程度的損失。另外,“偽程序”變種chm會在被感染系統中注冊名為“svchost32”的系統服務,以此實現自動運行。
英文名稱:Trojan/AntiAV.bmh
中文名稱:“系統殺手”變種bmh
病毒長度:277504字節
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:b51fb02b7bf8e7c43fed59b574e4f6e2
特征描述:
Trojan/AntiAV.bmh“系統殺手”變種bmh是“系統殺手”家族中的最新成員之一,采用“Borland Delphi 6.0 - 7.0”編寫,經過加殼保護處理。“系統殺手”變種bmh運行后,會自我復制到被感染系統的“%programfiles%Windows NT”文件夾下,重新命名為“SERVICES.EXE”。其會在被感染系統的“%SystemRoot%system32”文件夾下釋放經過加殼保護的惡意DLL組件“ACE.dll”。遍歷當前系統運行的所有進程,一旦發現某些安全軟件的進程存在,便會嘗試將其結束,致使被感染系統失去安全軟件的防護。“系統殺手”變種bmh運行時,會將釋放的惡意DLL組件“ACE.dll”插入到系統桌面程序“explorer.exe”等進程中隱秘運行。后臺執行相應的惡意操作,以此隱藏自我,防止被輕易地查殺。在被感染系統的后臺秘密監視用戶的鍵盤和鼠標操作,伺機竊取用戶輸入的機密信息,并在后臺將竊得的信息發送到駭客指定的站點或郵箱中(地址加密存放),給被感染系統用戶造成了不同程度的損失。“系統殺手”變種bmh在運行完成后會創建批處理文件“$$cD.tmp.bat”并在后臺調用執行,以此將自身刪除。另外,“系統殺手”變種bmh會通過在被感染系統注冊表啟動項中修改登陸初始化內容實現自動運行。
資料來源:江民科技
粵公網安備44011302004697
