3月10日病毒播報:“灰鴿子”變種abzh
中國IDC評述網03月10日報道:在今天的病毒里,需要謹慎防范“灰鴿子”變種abzh和“植木馬器”變種vy。
英文名稱:Backdoor/Huigezi.abzh
中文名稱:“灰鴿子”變種abzh
病毒長度:417374字節
病毒類型:后門
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:4d7737010758711e7ff9a37677ef3476
特征描述:
Backdoor/Huigezi.abzh“灰鴿子”變種abzh是“灰鴿子”家族中的最新成員之一,采用高級語言編寫,經過加殼保護處理。“灰鴿子”變種abzh運行后,會自我復制到被感染系統的“%SystemRoot%”和“%programfiles%”文件夾下,重新命名為“WindowsUpdate.exe”(文件屬性設置為“系統、隱藏”)。“灰鴿子”變種abzh運行后,會檢測被感染系統“%SystemRoot%system32drivers”文件夾下是否存在名為“klif.sys”的驅動文件。運行iexplore.exe進程,通過API函數“ZwUnmapViewOfSection”獲取IE進程的基址,之后申請內存空間,并將惡意代碼注入到其中隱秘運行。秘密連接駭客指定的站點“su*hen.3322.org”,偵聽駭客指令,然后在被感染的計算機上執行相應的惡意操作。駭客可通過“灰鴿子”變種abzh完全遠程控制被感染的計算機系統,從而給用戶的個人隱私甚至是企業的商業機密造成不同程度的侵害。“灰鴿子”變種abzh的原病毒程序在運行完成后會將自我刪除,以此消除痕跡。另外,其會通過新建名為“WindowsUpdate”的服務的方式實現開機自啟。
英文名稱:Backdoor/Inject.vy
中文名稱:“植木馬器”變種vy
病毒長度:94131字節
病毒類型:后門
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:a02779da9b884e5879f9122cca57ab3f
特征描述:
Backdoor/Inject.vy“植木馬器”變種vy是“植木馬器”家族中的最新成員之一,采用高級語言編寫,經過加殼保護處理。“植木馬器”變種vy運行后,會自我復制到被感染系統的“%SystemRoot%system32”文件夾下,重新命名為“ggfps.exe”。該后門會將惡意代碼插入到“explorer.exe”等幾乎所有的進程中隱秘運行,以此隱藏自我,防止被輕易地查殺。“植木馬器”變種vy運行時,會在被感染系統的后臺秘密監視用戶的鍵盤輸入,竊取用戶輸入的賬號及密碼等機密信息,并在后臺將竊得的信息發送到駭客指定的遠程站點或郵箱里(地址加密存放),給被感染計算機用戶造成了不同程度的損失。后臺連接駭客指定的遠程站點“hxxp://chid*le.com/twchi/”,下載惡意程序“chidoule.gif”、“chidoule.jpg”、“chidoule.bmp”并自動調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。另外,“植木馬器”變種vy會在被感染系統注冊表啟動項中修改登陸初始化內容(userinit),以此實現開機自啟。
資料來源:江民科技
粵公網安備44011302004697
