中文名稱:"刻毒蟲(chóng)"變種gq
病毒長(zhǎng)度:162516字節(jié)
病毒類型:蠕蟲(chóng)
危險(xiǎn)級(jí)別:★★
影響平臺(tái):Win 2000/XP/2003/VISTA
MD5 校驗(yàn):d0e0c049ed7056eac8bb396429795010
特征描述:
Worm/Kido.gq"刻毒蟲(chóng)"變種gq是"刻毒蟲(chóng)"家族中的最新成員之一,該蠕蟲(chóng)是由"kido"主程序釋放出來(lái)的DLL功能組件���,經(jīng)過(guò)加殼保護(hù)處理。"刻毒蟲(chóng)"變種gq運(yùn)行后,會(huì)移動(dòng)自身到"%SystemRoot%system32"文件夾下,若不成功則進(jìn)一步嘗試移動(dòng)到"C:Program FilesMovie Maker"��、"%USERPROFILE%Application Data"�����、"%Temp%"等文件夾下,重新命名為"*.dll"(文件名為隨機(jī)字符串�,不過(guò)通常是"bqwzif.dll")。另外還會(huì)釋放一個(gè)臨時(shí)的惡意驅(qū)動(dòng)程序����。"刻毒蟲(chóng)"變種gq運(yùn)行時(shí),會(huì)將惡意程序插入"svchost.exe"或者"explorer.exe"進(jìn)程中隱秘運(yùn)行�。關(guān)閉系統(tǒng)自動(dòng)更新服務(wù)(wuauserv)、后臺(tái)智能傳輸(BITS)服務(wù)以及"WinDefend"等服務(wù)��,并利用自帶的密碼表對(duì)使用弱口令的網(wǎng)上鄰居進(jìn)行口令猜解�。一旦猜解成功,便會(huì)通過(guò)MS08-067漏洞向該網(wǎng)上鄰居發(fā)送一個(gè)特定的RPC請(qǐng)求��,用于下載kido主程序并創(chuàng)建計(jì)劃任務(wù)���,從而激活該蠕蟲(chóng)文件�����。監(jiān)視系統(tǒng)中打開(kāi)的窗口����,并關(guān)閉帶有指定字符串(大部分為安全廠商名稱)的窗口。同時(shí)還會(huì)阻止用戶連接指定的站點(diǎn)(通常是安全軟件或微軟的網(wǎng)站)��,干擾用戶通過(guò)網(wǎng)絡(luò)尋求病毒的解決方案�。利用特定算法生成大量的隨機(jī)域名,同時(shí)下載其它的惡意程序��,用戶可能因此而遭受信息泄露���、遠(yuǎn)程控制�、垃圾郵件等侵害�。"刻毒蟲(chóng)"變種gq還可通過(guò)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播,當(dāng)其發(fā)現(xiàn)有新的移動(dòng)存儲(chǔ)設(shè)備接入時(shí)����,便會(huì)在其根目錄下創(chuàng)建文件夾"RECYCLERS-*-*-*-*-*-*-*"(*為隨機(jī)字符串),并在其中生成自身副本"*.vmx"(文件名隨機(jī)�����,不過(guò)通常是"jwgkvsq.vmx"),同時(shí)在根目錄下創(chuàng)建"autorun.inf"�����,設(shè)置上述文件及文件夾屬性為"系統(tǒng)�、只讀、隱藏"��,以此實(shí)現(xiàn)利用系統(tǒng)自動(dòng)播放功能進(jìn)行傳播的目的�。"刻毒蟲(chóng)"變種gq會(huì)在被感染系統(tǒng)中新建一個(gè)隨機(jī)名稱的系統(tǒng)服務(wù)���,并通過(guò)"svchost.exe"或"services.exe"實(shí)現(xiàn)開(kāi)機(jī)自動(dòng)運(yùn)行�。其還會(huì)修改文件和注冊(cè)表的訪問(wèn)控制對(duì)象��,致使用戶無(wú)法刪除自身產(chǎn)生的文件和注冊(cè)表項(xiàng)��。
英文名稱:Trojan/Scar.bmc
中文名稱:"毒疤"變種bmc
病毒長(zhǎng)度:5367字節(jié)
病毒類型:木馬
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):a1e566e6d020f5e5a6583b52bcb1507c
特征描述:
Trojan/Scar.bmc"毒疤"變種bmc是"毒疤"家族中的最新成員之一�����,經(jīng)過(guò)加殼保護(hù)處理���。"毒疤"變種bmc運(yùn)行后�����,會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下��,重新命名為"msinet32d.dll"�����。"毒疤"變種bmc會(huì)修改注冊(cè)表鍵值"AppInit_Dlls"�����,使其可以隨一些需要加載"user32.dll"的應(yīng)用程序一起啟動(dòng)運(yùn)行�。當(dāng)其隨"QQ.exe"一齊運(yùn)行時(shí),"毒疤"變種bmc會(huì)連接服務(wù)器"http://59.57.*.143/"����,讀取"1.txt"和"2.txt"的內(nèi)容,并通過(guò)一些內(nèi)存操作將讀取的廣告信息通過(guò)用戶的"群"以及個(gè)性簽名等方式傳播出去����,從而給不法分子謀取到了非法的經(jīng)濟(jì)利益。
