在今天的病毒里,“痞客”變種sh和“牧童”變種cde值得關(guān)注。
英文名稱:TrojanDropper.Typic.sh
中文名稱:“痞客”變種sh
病毒長(zhǎng)度:25165字節(jié)
病毒類型:木馬釋放器
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):026b2528330b80fb37b940d58b39c1b0
特征描述:
TrojanDropper.Typic.sh“痞客”變種sh是“痞客”家族中的最新成員之一,采用“Borland Delphi 6.0 - 7.0”編寫。“痞客”變種sh運(yùn)行時(shí),會(huì)在被感染系統(tǒng)的后臺(tái)連接駭客指定的遠(yuǎn)程站點(diǎn)“w99.eg*ns.cn/com/”,下載惡意程序“1.exe”并自動(dòng)調(diào)用運(yùn)行。其所下載的惡意程序可能為網(wǎng)絡(luò)游網(wǎng)站建設(shè)戲盜號(hào)木馬、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。后臺(tái)遍歷當(dāng)前系統(tǒng)中運(yùn)行的所有進(jìn)程,如果發(fā)現(xiàn)“bdagent.exe”、“KVMonXP.kxp”、“kavstart.exe”、“egui.exe”、“avp.exe”、“RavMonD.exe”、“mpmon.exe”、“dwengine.exe”、“ccSvcHst.exe”、“mcagent.exe”、“ashDisp.exe”、“avgtray.exe”、“avesvc.exe”、“sfctlcom.exe”、“apvxdWin.exe”這些進(jìn)程存在,“痞客”變種sh便會(huì)嘗試將其強(qiáng)行關(guān)閉,從而達(dá)到自我保護(hù)的目的。利用域名映像劫持功能,在被感染系統(tǒng)的后臺(tái)強(qiáng)行篡改“hosts”文件,從而將“www.baidu.com”、“baidu.com”、“www.google.cn”、“google.cn”、“www.g.cn”、“g.cn”、“www.google.com”和“google.com”這些域名屏蔽,干擾用戶對(duì)這些站點(diǎn)進(jìn)行訪問。在完成上述行為后,原病毒程序會(huì)將自身刪除,以此消除痕跡。
英文名稱:TrojanDropper.Mudrop.cde
中文名稱:“牧童”變種cde
病毒長(zhǎng)度:49152字節(jié)
病毒類型:木馬釋放器
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):50a6e2563340cd44d480b2cbf2f296ac
特征描述:
TrojanDropper.Mudrop.cde“牧童”變種cde是“牧童”家族中的最新成員之一,采用“Microsoft Visual Basic 5.0 / 6.0”編寫,經(jīng)過加殼保護(hù)處理。“牧童”變種cde運(yùn)行后,會(huì)在被感染系統(tǒng)的“%SystemRoot%system32”文件夾下釋放經(jīng)過加殼保護(hù)的惡意DLL組件“f1drc1nr.dll”和惡意程序“TXPlatform.exe”,之后會(huì)創(chuàng)建目錄“%SystemRoot%system322011”,并在其中釋放惡意程序“smss.exe”。其會(huì)在被感染系統(tǒng)的后臺(tái)連接駭客指定的番禺網(wǎng)頁(yè)設(shè)計(jì)遠(yuǎn)程站點(diǎn)“121.11.*.28”,獲取惡意程序下載列表,然后下載指定的惡意程序并自動(dòng)調(diào)用運(yùn)行。其所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更番禺網(wǎng)站建設(shè)多的威脅。另外,其還會(huì)在“%USERPROFILE%Favorites”文件夾下添加垃圾Internet快捷方式,誘導(dǎo)用戶對(duì)指定站點(diǎn)“hxxp://hao.mei*ngie.com/”進(jìn)行訪問,從而為其增加了訪問量,給駭客帶來(lái)了非法的經(jīng)濟(jì)利益。
粵公網(wǎng)安備44011302004697
