特征描述：
Trojan/Vilsel.dz"危鬼"變種dz是"危鬼"家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫，經(jīng)過(guò)加殼保護(hù)處理。"危鬼"變種dz運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"目錄下，重新命名為"scvhost.exe"。在該目錄下釋放惡意DLL組件"*.dll"，文件名隨機(jī)。另外還會(huì)在"%SystemRoot%"、"%SystemRoot%system32drivers"目錄下分別釋放惡意程序，并復(fù)制系統(tǒng)文件"wininet.dll"到臨時(shí)文件夾下以供調(diào)用。利用其釋放的惡意驅(qū)動(dòng)程序，"危鬼"變種dz可以穿透一些系統(tǒng)還原程序的保護(hù)，并用惡意文件覆蓋"explorer.exe"。其會(huì)用正常的"explorer.exe"替換"%SystemRoot%system32driversgm.dls"，之后將其復(fù)制到"%SystemRoot%TEMPexplorer.exe"，通過(guò)對(duì)該文件進(jìn)行調(diào)用，使得用戶開(kāi)機(jī)時(shí)能夠正常顯示桌面，以此蒙蔽了用戶。其會(huì)監(jiān)視并關(guān)閉可能彈出的"Windows文件保護(hù)"窗口，從而使其在替換系統(tǒng)文件時(shí)不被用戶所發(fā)現(xiàn)。"危鬼"變種dz運(yùn)行時(shí)，會(huì)關(guān)閉并禁用系統(tǒng)防火墻、Windows安全中心服務(wù)。關(guān)閉安全軟件的自我保護(hù)功能，終止大量的安全軟件、系統(tǒng)工具、應(yīng)用程序的進(jìn)程，同時(shí)還會(huì)通過(guò)關(guān)閉相關(guān)的服務(wù)、刪除關(guān)鍵文件、利用注冊(cè)表映像劫持等方式，干擾這些安全軟件的正常運(yùn)行，致使用戶的計(jì)算機(jī)失去保護(hù)。在被感染系統(tǒng)的后臺(tái)連接經(jīng)過(guò)多次解密后得到的URL"http://ll800.kmi*.net/88.txt"，讀取該文件中存放的下載地址，然后下載惡意程序并自動(dòng)調(diào)用運(yùn)行。其中，所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制木馬、廣告程序等，致使用戶面臨更多的威脅。另外，其還會(huì)向駭客指定的頁(yè)面"http://liuliang.qvodcnz*.com/tj/v7/count.asp"反饋被感染計(jì)算機(jī)的基本信息。"危鬼"變種dz會(huì)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值"360safe"，以此實(shí)現(xiàn)開(kāi)機(jī)自動(dòng)運(yùn)行。

英文名稱：Backdoor/KBot.mo
中文名稱："K波"變種mo
病毒長(zhǎng)度：25600字節(jié)
病毒類型：后門
危險(xiǎn)級(jí)別：★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：1a4552499beaa0b561f4884af892d583

特征描述：
Backdoor/KBot.mo"K波"變種mo是"K波"家族中的最新成員之一，采用高級(jí)語(yǔ)言編寫，并且經(jīng)過(guò)加殼保護(hù)處理。"K波"變種mo運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下，重新命名為"mssrv32.exe"。創(chuàng)建"svchost.exe"進(jìn)程，將惡意代碼注入其中隱秘運(yùn)行，同時(shí)隱藏該進(jìn)程，致使用戶無(wú)法通過(guò)"Windows任務(wù)管理器"發(fā)現(xiàn)。"K波"變種mo可能會(huì)監(jiān)聽(tīng)用戶的網(wǎng)絡(luò)通信，竊取敏感信息并發(fā)送到駭客指定的服務(wù)器上。同時(shí)，其還會(huì)向"http://atatat*.org/black/stat.php"反饋用戶的感染情況。另外，"K波"變種mo會(huì)在被感染計(jì)算機(jī)中注冊(cè)名為"msupdate"的系統(tǒng)服務(wù)，以此實(shí)現(xiàn)后門的開(kāi)機(jī)自啟。

kuangmin