中文名稱:"歪風(fēng)"變種n
病毒長(zhǎng)度:104264字節(jié)
病毒類型:蠕蟲
危險(xiǎn)級(jí)別:★★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):72ba1895da74c1076341072347241fa1
特征描述:
Worm/Abuse.n"歪風(fēng)"變種n是"歪風(fēng)"家族中的最新成員之一,采用Borland Delphi 6.0 – 7.0"編寫��。"歪風(fēng)"變種n運(yùn)行后���,會(huì)自我復(fù)制到被感染系統(tǒng)的"%ProgramFiles%Common Files"目錄下��,重新命名為"SysLive.exe"�,文件屬性設(shè)置為"系統(tǒng)�、隱藏"。在"%SystemRoot%fonts"目錄下釋放惡意DLL組件"*.fon"(隨機(jī)5個(gè)字母的文件名)��,在"%SystemRoot%fonts"和"%USERPROFILE%Local Settings"目錄下分別釋放惡意驅(qū)動(dòng)程序"*.fon"(隨機(jī)5個(gè)字母的文件名)和"Temp~*.tmp"�。"歪風(fēng)"變種n會(huì)在被感染計(jì)算機(jī)重新啟動(dòng)時(shí),將"%SystemRoot%system32dllcache"和"%SystemRoot%"目錄下的"explorer.exe"替換����,以此實(shí)現(xiàn)隱秘的自啟。在安裝完成后�,"歪風(fēng)"變種n會(huì)將自我刪除,以此消除痕跡�����。"歪風(fēng)"變種n運(yùn)行時(shí),會(huì)創(chuàng)建新的"svchost.exe"和"iexplorer.exe"進(jìn)程��,并將惡意代碼注入其中隱秘運(yùn)行����,減少了被發(fā)現(xiàn)的幾率�����。利用其釋放的惡意驅(qū)動(dòng)程序關(guān)閉指定安全軟件的自保護(hù)功能����,同時(shí)終止其進(jìn)程。強(qiáng)行篡改注冊(cè)表�,致使一些安全軟件不能隨系統(tǒng)自動(dòng)運(yùn)行。關(guān)閉帶有指定名稱的窗口�����,同時(shí)���,利用注冊(cè)表的文件映像劫持功能���,干擾大量安全軟件的啟動(dòng)運(yùn)行���。還會(huì)通過篡改hosts文件的方式屏蔽用戶對(duì)一些站點(diǎn)的訪問,從而達(dá)到了自我保護(hù)的目的�����。在被感染系統(tǒng)的后臺(tái)連接駭客指定的站點(diǎn)"http://ww.m*wyt.com/"��,獲取惡意程序下載列表"md.txt"�����,然后下載指定的惡意程序并自動(dòng)調(diào)用運(yùn)行���,從而給用戶造成更大的風(fēng)險(xiǎn)���。連接指定的URL"http://tj.97aiww*.cn/s/Count.asp"和"http://down.92rm*.com/shell.asp",反饋被感染系統(tǒng)的信息���。"歪風(fēng)"變種n還會(huì)在被感染計(jì)算機(jī)的系統(tǒng)盤根目錄下創(chuàng)建"autorun.inf"(自動(dòng)播放配置文件)和蠕蟲主程序文件副本���,文件屬性設(shè)置為"系統(tǒng)、隱藏"����,以此實(shí)現(xiàn)雙擊盤符后激活蠕蟲的目的����,從而給計(jì)算機(jī)用戶造成更多的威脅��。另外����,"歪風(fēng)"變種n會(huì)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加新鍵���,以此實(shí)現(xiàn)開機(jī)后的自動(dòng)運(yùn)行�����。
英文名稱:Trojan/Mepaow.hk
中文名稱:"冒牌貨"變種hk
病毒長(zhǎng)度:200704字節(jié)
病毒類型:木馬
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):cf836914c9bb6c3bd1f11eae458dc898
特征描述:
Trojan/Mepaow.hk"冒牌貨"變種hk是"冒牌貨"家族中的最新成員之一���,采用"Microsoft Visual Basic 5.0 / 6.0"編寫。"冒牌貨"變種hk運(yùn)行后���,會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的"C:Windows"文件夾下��,重新命名為"serivices.exe"或"services1.exe"�����。連接網(wǎng)頁"http://hi.baidu.com/wangchun1123/blog/item/3fc47b5675173c52d0090629.html"�,對(duì)該博客文章中設(shè)定的配置信息進(jìn)行解析,然后連接指定的網(wǎng)站執(zhí)行預(yù)設(shè)的點(diǎn)擊操作�,以此達(dá)到賺取廣告費(fèi)、推廣網(wǎng)站或增加網(wǎng)站流量等目的�。"冒牌貨"變種hk會(huì)通過在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值"win32_twunk"的方式實(shí)現(xiàn)開機(jī)自動(dòng)運(yùn)行。
