中文名稱:“霸族”變種hkf
病毒長度:97792字節(jié)
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:8f9e922e6fffcb1b9f58e72f25f684df
特征描述:
Trojan/Buzus.hkf“霸族”變種hkf是“霸族”家族中的最新成員之一,采用“Borland Delphi 6.0 – 7.0”編寫�����。“霸族”變種hkf運行后����,會自我復(fù)制到被感染系統(tǒng)的“%programfiles%Common Files”文件夾下,重新命名為“SafeDrv.exe”�����,文件屬性設(shè)置為“隱藏”����。其還會在“%USERPROFILE%”文件夾下釋放經(jīng)過加殼保護的惡意驅(qū)動程序“lmiwn.drv”并調(diào)用運行。在被感染計算機的系統(tǒng)盤根目錄下創(chuàng)建“autorun.inf”����,以此實現(xiàn)雙擊盤符后激活指定惡意程序的目的,從而給被感染計算機用戶造成更多的威脅�����。另外,其會收集被感染計算機的相關(guān)信息�����,之后發(fā)送到駭客指定的頁面“http://www.tj*vod.com/ax/Count.asp”����,從而對用戶的私密信息造成了不同程度的侵害。“霸族”變種hkf還會遍歷當(dāng)前系統(tǒng)中運行的所有進程�����,一旦發(fā)現(xiàn)某些安全軟件的進程存在����,便會嘗試將其結(jié)束���,致使被感染系統(tǒng)失去安全軟件的保護��。另外���,“霸族”變種hkf會通過在被感染系統(tǒng)注冊表啟動項中添加鍵值��,以此實現(xiàn)開機自動運行����。
英文名稱:TrojanDownloader.Geral.bnm
中文名稱:“變異體”變種bnm
病毒長度:37263字節(jié)
病毒類型:木馬下載器
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:6f63626a536678cd1dc3d6343efdff6b
特征描述:
TrojanDownloader.Geral.bnm“變異體”變種bnm是“變異體”家族中的最新成員之一���,采用高級語言編寫���,經(jīng)過加殼保護處理。“變異體”變種bnm運行后����,會釋放惡意DLL組件“CCtest.dll”至被感染系統(tǒng)的“%programfiles%RAV”文件夾下。另外�,還會在相同文件夾和“%SystemRoot%system32drivers”文件夾下釋放惡意驅(qū)動程序“CCtest.sys”。遍歷當(dāng)前系統(tǒng)中運行的所有進程��,一旦發(fā)現(xiàn)某些指定的安全軟件存在����,“變異體”變種bnm便會嘗試將其強行關(guān)閉,以此達到自我保護的目的�����。“變異體”變種bnm運行時,會在被感染系統(tǒng)的后臺連接駭客指定的站點“121.11.*.168”��,獲取惡意程序下載列表�����,然后下載指定的惡意程序并自動調(diào)用運行���。其所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬���、遠程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅����。另外�����,“變異體”變種bnm會通過在被感染系統(tǒng)注冊表啟動項中添加鍵值的方式實現(xiàn)開機自啟����。
27日:
英文名稱:Trojan/PSW.Bjlog.jj
中文名稱:“綁架犯”變種jj
病毒長度:192512字節(jié)
病毒類型:盜號木馬
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:5bc532b047e1a2f3602a92825dfe7234
特征描述:
Trojan/PSW.Bjlog.jj“綁架犯”變種jj是“綁架犯”家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫�。“綁架犯”變種jj運行后����,會在被感染系統(tǒng)的“%USERPROFILE%Local SettingsTemp”文件夾下釋放惡意文件“ouxexvxnoy.log”���,然后會將“ouxexvxnoy.log”復(fù)制到“%ALLUSERSPROFILE%DRM”文件夾下�,重新命名為“boywp.lnk”����。“綁架犯”變種jj運行后,會將惡意代碼注入到系統(tǒng)進程“svchost.exe”的內(nèi)存空間中隱秘運行�����。不斷嘗試與控制端(IP地址為219.132.*.27:77)進行連接���,一旦連接成功���,則被感染的計算機就會淪為傀儡主機。駭客可以向被感染的計算機發(fā)送惡意指令���,從而執(zhí)行任意控制操作(其中包括:文件管理�、進程控制、注冊表操作����、服務(wù)管理、遠程命令執(zhí)行�����、屏幕監(jiān)控��、鍵盤監(jiān)聽�、鼠標(biāo)控制、音頻監(jiān)控���、視頻監(jiān)控等)�����,會給用戶的信息安全構(gòu)成嚴重的威脅�。另外�,“綁架犯”變種jj會在被感染計算機中注冊名為“ias”的系統(tǒng)服務(wù)�����,以此實現(xiàn)開機自動運行。
英文名稱:Trojan/VB.zvl
中文名稱:“視頻寶寶”變種zvl
病毒長度:76340字節(jié)
病毒類型:木馬
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:509a9da3d09e8c8b69bb0fe5a29c3c91
特征描述:
Trojan/VB.zvl“視頻寶寶”變種zvl是“視頻寶寶”家族中的最新成員之一��,采用“Microsoft Visual Basic 5.0 / 6.0”編寫��,經(jīng)過加殼保護處理�。“視頻寶寶”變種zvl運行后,會在被感染系統(tǒng)的“%programfiles%WindowsUpdate”文件夾下釋放圖標(biāo)文件“youhuo.ico”�����,惡意程序“TXP1atform.exe”和“svch0st.exe”�����。“視頻寶寶”變種zvl運行時�,會在后臺調(diào)用執(zhí)行“svch0st.exe”。“svch0st.exe”運行后���,會與控制端(IP地址為:61.147.*.173:80)進行連接����。如果連接成功�����,則被感染的計算機就會淪為傀儡主機。駭客可以向被感染的計算機發(fā)送惡意指令���,從而執(zhí)行任意控制操作(其中包括:文件管理�、進程控制����、注冊表操作、服務(wù)管理���、遠程命令執(zhí)行�����、屏幕監(jiān)控���、鍵盤監(jiān)聽、鼠標(biāo)控制�、音頻監(jiān)控、視頻監(jiān)控等)��,會給用戶的信息安全構(gòu)成嚴重的威脅����。另外,其會在開始菜單“啟動”文件夾下添加名為“Windows服務(wù)管理器.lnk”的快捷方式(指向“svch0st.exe”)���,以此實現(xiàn)相關(guān)惡意程序的開機自啟�。
28日:
英文名稱:TrojanDownloader.Adload.jhm
中文名稱:“埃德羅”變種jhm
病毒長度:54272字節(jié)
病毒類型:木馬下載器
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:80b3b4cd03ceddbf9dfcae2051bb6e1d
特征描述:
TrojanDownloader.Adload.jhm“埃德羅”變種jhm是“埃德羅”家族中的最新成員之一���,采用“Microsoft Visual C++ 6.0”編寫����,經(jīng)過加殼保護處理���。“埃德羅”變種jhm運行后��,會在被感染系統(tǒng)的“%SystemRoot%system32”和“%SystemRoot%system32dllcache”文件夾下分別釋放惡意DLL組件“jgqk0.dll”�,還會在“%SystemRoot%system32”文件夾下釋放惡意DLL組件“gggg7.dll”和“jgqkm.dll”����。遍歷當(dāng)前系統(tǒng)中運行的所有進程,一旦發(fā)現(xiàn)指定進程“ravmond.exe”和“360tray.exe”存在���,便會嘗試將其結(jié)束�。“埃德羅”變種jhm運行時�,會在后臺連接駭客指定的遠程站點“221.194.*.33:80”���,獲取惡意程序下載列表,然后下載文件中指定的惡意程序并自動調(diào)用運行���。其所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬�、遠程控制后門或惡意廣告程序(流氓軟件)等����,致使用戶面臨更多的威脅。
英文名稱:Trojan/PSW.Eruwbi.eh
中文名稱:“吸金者”變種eh
病毒長度:72192字節(jié)
病毒類型:盜號木馬
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:d16e0545fc8da4d14045ade50bc24cba
特征描述:
Trojan/PSW.Eruwbi.eh“吸金者”變種eh是“吸金者”家族中的最新成員之一���,采用“Microsoft Visual C++ 6.0”編寫���,經(jīng)過加殼保護處理。“吸金者”變種eh運行后���,會在被感染系統(tǒng)的“%SystemRoot%system32”文件夾下釋放圖標(biāo)文件“www_qvod8_com.ico”和“www_gxgx_com.ico”(文件屬性設(shè)置為“系統(tǒng)�����、隱藏�、只讀”)����,還會刪除快捷啟動文件夾下的IE快捷方式��,并且在“%USERPROFILE%「開始」菜單程序”文件夾下和桌面上創(chuàng)建假冒的IE快捷方式和多個Internet快捷方式。當(dāng)用戶通過這些快捷方式啟動IE瀏覽器后�,會自動訪問駭客指定的站點“http://www.2*8.cn/?tn=meiyingie.com”,從而增加了這些網(wǎng)站的訪問量���,給駭客帶來了非法的經(jīng)濟利益����。
針對以上病毒�,江民反病毒中心建議廣大電腦用戶:
1、請將江民殺毒軟件升級至最新版本�,并且進行全盤掃描。江民殺毒軟件增強了虛擬機脫殼與啟發(fā)式掃描技術(shù)��,能夠更加輕松地識別各種加殼�����、家族變種病毒���,使病毒無所遁形����。同時應(yīng)用指紋加速、超線程掃描等高速掃描技術(shù)��,更好更快地保護您的信息安全���。
2�����、江民網(wǎng)絡(luò)版的用戶請及時升級控制中心和所有客戶端��,并且進行全網(wǎng)的病毒查殺�����,最大程度地保障企業(yè)的信息安全��。
3��、開啟江民殺毒軟件的主動防御功能��。該功能采用智能沙盒技術(shù)��,不僅可以更加準確地判別程序行為�����,還可迅速恢復(fù)病毒對系統(tǒng)造成的破壞與修改����,令您輕松擺脫病毒的困擾。
4���、江民殺毒軟件擁有強大的自我保護功能,能夠有效避免病毒的肆意破壞和干擾運行����,為自身和系統(tǒng)同時加上了“金鐘罩”般的強力保護。
5����、開啟江民殺毒軟件的網(wǎng)頁數(shù)據(jù)流監(jiān)控功能。該功能可以更好地防御各種形式的網(wǎng)頁病毒�����,為您的網(wǎng)上沖浪撐起保護傘����。
6�、開啟江民殺毒軟件的BootScan功能�,在系統(tǒng)登陸前進行病毒查殺,清除頑固病毒更加方便�����、徹底�����。
7���、建議使用安全專家內(nèi)置的RootKit掃描功能�。該功能可以對惡意程序深度隱藏的項目進行檢測和清除��,使惡意程序無處藏身���。
8��、建議使用安全專家內(nèi)置的漏洞掃描功能���。該功能掃描系統(tǒng)漏洞更加全面、準確,修復(fù)速度更加快捷��。同時新增常見第三方軟件漏洞掃描功能��,使防護更全面���,保護更徹底����,不給病毒利用漏洞進行傳播的機會��。
