特征描述：
TrojanSpy.Filka.p"菲卡"變種p是"菲卡"家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫，經(jīng)過加殼保護處理。"菲卡"變種p運行后，會在被感染系統(tǒng)的"%SystemRoot%system32"文件夾下釋放惡意DLL文件"try*.dll"和"kkkyfile.dll"。遍歷當前系統(tǒng)中所有正在運行的進程，如果發(fā)現(xiàn)某些與安全或系統(tǒng)診斷相關(guān)的進程存在，就會自動退出，從而避免被檢測到。其還會利用映像文件劫持功能干擾安全軟件的正常運行，降低了被感染系統(tǒng)的安全性。"菲卡"變種p運行時，會在"%SystemRoot%system32"文件夾下生成配置文件"web.ini"，并根據(jù)其中的設置在被感染系統(tǒng)中以自動定時彈出或者點擊鏈接時彈出等方式，打開程序指定的廣告網(wǎng)頁或廣告條等（這些惡意廣告網(wǎng)頁中可能包含網(wǎng)頁木馬，會給存在漏洞的計算機系統(tǒng)造成不同程度的安全隱患）。同時，其還會將IE首頁鎖定為一個指定的導航頁面"http://www.hao1258*.com/XueHu"。通過提高這些惡意網(wǎng)站的訪問量（網(wǎng)絡排名），駭客謀取到了非法的利益。"菲卡"變種p還具有自動更新功能，其會連接駭客指定的遠程服務器"http://www.f*edit.cn/"下載更新文件，以此實現(xiàn)更換需要推廣的網(wǎng)址和躲避查殺等。另外，"菲卡"變種p釋放的DLL文件會將自身注冊為BHO（瀏覽器輔助對象），以此實現(xiàn)其隨IE瀏覽器的啟動而加載運行。

英文名稱：Trojan/Vilsel.bbv
中文名稱："危鬼"變種bbv
病毒長度：12767字節(jié)
病毒類型：木馬
危險級別：★★
影響平臺：Win 9X/ME/NT/2000/XP/2003
MD5 校驗：00cd42157d140dd68e9aa1b0bd074eda

特征描述：
Trojan/Vilsel.bbv"危鬼"變種bbv是"危鬼"家族中的最新成員之一，經(jīng)過加殼保護處理。"危鬼"變種bbv運行后，會自我復制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下，重新命名為"kb*.dll"。同時會生成文件"wsconfig.db"保存該DLL文件名。在"%SystemRoot%system32drivers"文件夾下釋放記錄收信地址的配置文件"kipikwcd.dat"，另外還會篡改系統(tǒng)文件"imm32.dll"，從而通過對被感染的"imm32.dll"的調(diào)用實現(xiàn)自動運行。安裝完成后，原病毒會將自我刪除，以此消除痕跡。"危鬼"變種bbv是一個專門盜取"問道"和"完美國際"等網(wǎng)絡游戲會員賬號的木馬程序，其會插入游戲進程"asktao.mod"和"elementclient.exe"中，并通過一些內(nèi)存操作截獲游戲賬號、游戲密碼、所在區(qū)服、角色等級等信息，并在后臺將竊得的信息發(fā)送到駭客指定的收信頁面"http://202.yx2009123*.cn:55414/202/xj283x@c!d$h/!$f7i@.asp"等上，甚至還會通過屏幕截圖的方式獲取用戶輸入的密碼等信息，致使網(wǎng)絡游戲玩家的虛擬財產(chǎn)遭到不同程度的侵害。

kuangmin

<cite id="b1fpo"></cite>