周末两种变种病毒需提防

    3月6日:

    “初始页”变种evj和“易扣”变种ak值得关注。

    英文名称:Trojan/StartPage.evj

    中文名称:“初始页”变种evj

    病毒长度:98304字节

    病毒类型:木马

    危险级别:★

    影响平台:Win 9X/ME/NT/2000/XP/2003

    MD5 校验:52e056ed7db16db989bb52e3329acffb

    特征描述:

    Trojan/StartPage.evj“初始页”变种evj是“初始页”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“初始页”变种evj运行后,会在被感染系统的后台执行命令“taskkill /f /im rstray.exe”,以此试图关闭某安全软件。自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“bt32.exe”。同时,还会在系统“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“bt32.dll”(文件信息经过伪装),并将其注册为BHO,从而实现随IE浏览器的启动自动运行的目的。删除“IE浏览器桌面图标”,然后在当前桌面上创建一个仿冒的“IE浏览器快捷方式”。通过该快捷方式启动的IE会自动打开骇客指定的站点“hxxp://www.ku5*5.com/”,从而增加了其访问量。“初始页”变种evj会在被感染系统的后台连接骇客指定的远程站点“hxxp://97fe*hu.com/”,下载恶意程序“download3.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,其会访问骇客指定的URL“hxxp://www.ku5*5.com/conn/count.asp?mac=2-4-10-140-58-119-94-66-62-218-252-25&ver=1.0”,以此对被感染系统进行数量统计。“初始页”变种evj会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。其安装程序在运行完毕后会自我删除,以此达到消除痕迹的目的。

    英文名称:Trojan/PSW.Ecode.ak

    中文名称:“易扣”变种ak

    病毒长度:847872字节

    病毒类型:盗号木马

    危险级别:★

    影响平台:Win 9X/ME/NT/2000/XP/2003

    MD5 校验:2abdd84299644c1546c3e2e1bcf9f372

    特征描述:

    Trojan/PSW.Ecode.ak“易扣”变种ak是“易扣”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“易扣”变种ak运行后,会自动弹出一个高度仿真的“腾讯QQ2009版即时聊天工具”的登陆界面。如果用户在这个假冒的登陆窗口中输入了账号、密码并且点击了“登录”,那么用户所输入的账号及密码将被发送至骇客指定的站点“hxxp://www.qq99*55.com/neex/qqpost.asp?qqnumber=&qqpassword=”上,致使被感染系统用户的QQ账号信息失窃。“易扣”变种ak可以通过下载网站、论坛附件、邮件附件或QQ文件在线传输等多种手段进行传播,在此提醒各位用户务必留意防范。

    

    3月7日:

    “X疙瘩”变种ak和“密室大盗”变种bj值得关注。

    英文名称:TrojanDownloader.Xanda.ak

    中文名称:“X疙瘩”变种ak

    病毒长度:24265字节

    病毒类型:木马下载器

    危险级别:★

    影响平台:Win 9X/ME/NT/2000/XP/2003

    MD5 校验:102eca316ffe81ea9a02e0dcb7d4e2ea

    特征描述:

    TrojanDownloader.Xanda.ak“X疙瘩”变种ak是“X疙瘩”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“X疙瘩”变种ak运行后,会在被感染系统的后台执行命令“taskkill /f /im rstray.exe”,以此试图关闭某安全软件。自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“bcttqqc32.exe”。还会在系统“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“bcttqqc32.dll”(文件信息经过伪装),并将其注册为IE浏览器辅助对象BHO,以此达到随IE浏览器的启动而自动运行的目的。删除“IE浏览器桌面图标”,然后在当前桌面上创建一个仿冒的“IE浏览器快捷方式”。通过该快捷方式启动的IE会自动打开骇客指定的站点“hxxp://www.365*odh.cn”,从而增加了其访问量。“X疙瘩”变种ak会在被感染系统的后台连接骇客指定的站点“hxxp://97f*ihu.com/”,下载恶意程序“download3.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,其会访问骇客指定的网页地址“hxxp://www.365*odh.cn/tj/xiaohui/e5/count.asp?mac=2-4-10-140-58-119-94-66-62-218-252-25&ver=1.0”,以此对被感染系统进行数量统计。“X疙瘩”变种ak会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。另外,其安装程序在运行完毕后会自我删除,以此达到消除痕迹的目的。

    英文名称:Trojan/PSW.Kykymber.bj

    中文名称:“密室大盗”变种bj

    病毒长度:13612字节

    病毒类型:盗号木马

    危险级别:★

    影响平台:Win 9X/ME/NT/2000/XP/2003

    MD5 校验:3cf7bd7bcda49458e7a509b0e8f7df39

    特征描述:

    Trojan/PSW.Kykymber.bj“密室大盗”变种bj是“密室大盗”家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件,经过加壳保护处理。“密室大盗”变种bj是一个专门盗取“QQ三国”网络游戏会员账号的木马程序,其会在后台秘密监视用户系统中运行的所有应用程序的窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“密室大盗”变种bj会通过添加注册表启动项的方式实现开机自启。

    2010.03.07       来源:赛迪网