10月21日病毒播報:謹防“代理木馬”和“鎖定兇手”
在今天的病毒里,需要謹防“代理木馬”變種ear和“鎖定兇手”變種bby。英文名稱:TrojanClicker.Agent.ear中文名稱:“代理木馬”變種ear病毒長度:312320字節病毒類型:木馬點擊器危險級別:★影響平臺:Win 9X/ME/NT/2000/XP/2003MD5 校驗:8a22af0a54513e6824819d76e530c6a2特征描述:TrojanClicker.Agent.ear“代理木馬”變種ear是“代理木馬”家族中的最新成員之一,采用高級語言編寫,經過加殼保護處理。該病毒的圖標會被設置成某應用軟件的樣式,以此誘騙用戶點擊運行。“代理木馬”變種ear運行時,會自我復制到被感染系統的“%SystemRoot%mui”文件夾下,重新命名為“mui.exe”。將“%SystemRoot%system32”文件夾下的“wscript.exe”復制到新創建的隱藏文件夾“%SystemRoot%Offline Web Pages369”下,之后重新命名為“369safe.exe”。其會在“%SystemRoot%Offline Web Pagesico”下釋放圖標文件“tx2.ico”、“tao.ico”、“mv.ico”、“movie.ico”、“hao123.ico”、“game.ico”,在“%SystemRoot%”下釋放注冊表文件“regedit.reg”并調用執行,在桌面上生成惡意腳本文件“hao123導航.tx4”、“在線小游戲.tx2”、“高清電影.tx5”、“Internet Explorer.tx”。其還會刪除“%USERPROFILE%Application DataMicrosoftInternet ExplorerQuick Launch”文件夾下的IE快捷方式,然后創建一個名為“Internet Explorer.tx”的假冒快捷方式誘騙用戶點擊。在被感染系統的番禺做網站公司后臺定時訪問指定的站點“hxxp://dh.dh*19.com/tj.html?1004”,以此提高這些網站的訪番禺網頁設計問量(網絡排名),從而給駭客帶來了非法的經濟利益。英文名稱:TrojanDownloader.Murlo.bby中文名稱:“鎖定兇手”變種bby病毒長度:45056字節病毒類型:木馬下載器危險級別:★影響平臺:Win 9X/ME/NT/2000/XP/2003MD5 校驗:92915d3adab9bb4abba6a007413d6ed2特征描述:TrojanDownloader.Murlo.bby“鎖定兇手”變種bby是“鎖定兇手”家族中的網站建設最新成員之一,采用高級語言編寫,經過加殼保護處理。“鎖定兇手”變種bby運行后,會在被感染系統的“%USERPROFILE%Local SettingsTemp”文件夾下釋放惡意程序“~198642.ex”和“~198642.exe”,之后其會將“~198642.exe”復制到“%SystemRoot%system32”文件夾下,重新命名為“RQPYW.exe”。其會利用系統映像劫持特性干擾指定安全軟件的正常啟動,以此實現自我保護。“鎖定兇手”變種bby運行時,會在被感染系統的后臺連接駭客指定的番禺網站設計遠程站點“www.2*fv.com”,讀取配置文件“in.txt”,然后根據其中的設置下載惡意程序并調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,會給用戶造成了不同程度的損失。另外,“鎖定兇手”變種bby會通過在被感染番禺網站設計系統注冊表啟動項中添加鍵值的方式實現開機自啟。 
粵公網安備44011302004697
