在今天的病毒里,“痞客”變種sh和“牧童”變種cde值得關注。
英文名稱:TrojanDropper.Typic.sh
中文名稱:“痞客”變種sh
病毒長度:25165字節
病毒類型:木馬釋放器
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:026b2528330b80fb37b940d58b39c1b0
特征描述:
TrojanDropper.Typic.sh“痞客”變種sh是“痞客”家族中的最新成員之一,采用“Borland Delphi 6.0 - 7.0”編寫。“痞客”變種sh運行時,會在被感染系統的后臺連接駭客指定的遠程站點“w99.eg*ns.cn/com/”,下載惡意程序“1.exe”并自動調用運行。其所下載的惡意程序可能為網絡游網站建設戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。后臺遍歷當前系統中運行的所有進程,如果發現“bdagent.exe”、“KVMonXP.kxp”、“kavstart.exe”、“egui.exe”、“avp.exe”、“RavMonD.exe”、“mpmon.exe”、“dwengine.exe”、“ccSvcHst.exe”、“mcagent.exe”、“ashDisp.exe”、“avgtray.exe”、“avesvc.exe”、“sfctlcom.exe”、“apvxdWin.exe”這些進程存在,“痞客”變種sh便會嘗試將其強行關閉,從而達到自我保護的目的。利用域名映像劫持功能,在被感染系統的后臺強行篡改“hosts”文件,從而將“www.baidu.com”、“baidu.com”、“www.google.cn”、“google.cn”、“www.g.cn”、“g.cn”、“www.google.com”和“google.com”這些域名屏蔽,干擾用戶對這些站點進行訪問。在完成上述行為后,原病毒程序會將自身刪除,以此消除痕跡。
英文名稱:TrojanDropper.Mudrop.cde
中文名稱:“牧童”變種cde
病毒長度:49152字節
病毒類型:木馬釋放器
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:50a6e2563340cd44d480b2cbf2f296ac
特征描述:
TrojanDropper.Mudrop.cde“牧童”變種cde是“牧童”家族中的最新成員之一,采用“Microsoft Visual Basic 5.0 / 6.0”編寫,經過加殼保護處理。“牧童”變種cde運行后,會在被感染系統的“%SystemRoot%system32”文件夾下釋放經過加殼保護的惡意DLL組件“f1drc1nr.dll”和惡意程序“TXPlatform.exe”,之后會創建目錄“%SystemRoot%system322011”,并在其中釋放惡意程序“smss.exe”。其會在被感染系統的后臺連接駭客指定的番禺網頁設計遠程站點“121.11.*.28”,獲取惡意程序下載列表,然后下載指定的惡意程序并自動調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更番禺網站建設多的威脅。另外,其還會在“%USERPROFILE%Favorites”文件夾下添加垃圾Internet快捷方式,誘導用戶對指定站點“hxxp://hao.mei*ngie.com/”進行訪問,從而為其增加了訪問量,給駭客帶來了非法的經濟利益。
粵公網安備44011302004697
