undll32.exe”并重新命名為“myInsDll.exe”,然后通過(guò)“myInsDll.exe”調(diào)用“Bnamsnb.dll”中的“myIns”函數(shù)���。“21.exe”運(yùn)行后�,會(huì)在“%SystemRoot%system32”文件夾下釋放惡意DLL組件“comres.dll”����,該DLL運(yùn)行后�,會(huì)復(fù)制“sfc_os.dll”并重新命名為“sfc_my.dll”。之后,會(huì)調(diào)用其中的5號(hào)函數(shù)將Windows文件保護(hù)關(guān)閉����。將“%SystemRoot%system32comres.dll”重新命名為“comresdk.dll”,之后刪除“%SystemRoot%system32dllcachecomres.dll”��,然后將自身復(fù)制到“%SystemRoot%system32”文件夾下����,重新命名為“comres.dll”。“21.exe”還會(huì)在“%SystemRoot%system32”下釋放惡意文件“mrdxsdk32.dll”和“MRPinyin.ime”���。其中,“mrdxsdk32.dll”是一個(gè)專(zhuān)門(mén)盜取“地下城與勇士”網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序����,其會(huì)在被感染計(jì)算機(jī)的后臺(tái)秘密監(jiān)視當(dāng)前正在運(yùn)行的所有應(yīng)用程序的窗口標(biāo)題。一旦發(fā)現(xiàn)指定程序啟動(dòng)����,便會(huì)利用鍵盤(pán)鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)����、游戲密碼、所在區(qū)服、角色等級(jí)��、金錢(qián)數(shù)量����、倉(cāng)庫(kù)密碼等信息,并在后臺(tái)將竊得的信息發(fā)送到駭客指定的遠(yuǎn)程站點(diǎn)上(地址加密存放)�����,致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)����、裝備、物品��、金錢(qián)等丟失�����,從而給游戲玩家造成了不同程度的損失�。“21.exe”在運(yùn)行完畢后會(huì)創(chuàng)建批處理文件“mr.bat”并調(diào)用運(yùn)行,以此將自身刪除���。另外����,“綁匪”變種pa會(huì)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加名為“英英”的啟動(dòng)項(xiàng)來(lái)實(shí)現(xiàn)開(kāi)機(jī)自啟。
英文名稱(chēng):Backdoor/Bredolab.efv
中文名稱(chēng):“狡猾賊”變種efv
病毒長(zhǎng)度:14848字節(jié)
病毒類(lèi)型:后門(mén)
危險(xiǎn)級(jí)別:★★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):382d957553fada835739fa1098eb0a2f
特征描述:
Backdoor/Bredolab.efv“狡猾賊”變種efv是“狡猾賊”家族中的最新成員之一���,采用高級(jí)語(yǔ)言編寫(xiě)�����,經(jīng)過(guò)加殼保護(hù)處理�����。“狡猾賊”變種efv運(yùn)行時(shí)��,會(huì)在被感染系統(tǒng)的后臺(tái)連接駭客指定的遠(yuǎn)程站點(diǎn)“http://kd*rt.com/wmp/”,獲取惡意程序下載列表“adq1.txt”�,“bqq2.txt”,“cdq3.txt”�,“dmq4.txt”,然后下載指定的惡意程序并自動(dòng)調(diào)用運(yùn)行��。其所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬�、遠(yuǎn)程控制后門(mén)或惡意廣告程序(流氓軟件)等,致使用戶(hù)面臨更多的威脅���。“狡猾賊”變種efv在運(yùn)行完畢后會(huì)將自身刪除�,以此達(dá)到消除痕跡的目的。
針對(duì)以上病毒��,江民反病毒中心建議廣大電腦用戶(hù):
1����、請(qǐng)將江民殺毒軟件升級(jí)至最新版本,并且進(jìn)行全盤(pán)掃描�。江民殺毒軟件增強(qiáng)了虛擬機(jī)脫殼與啟發(fā)式掃描技術(shù),能夠更加輕松地識(shí)別各種加殼��、家族變種病毒����,使病毒無(wú)所遁形。同時(shí)應(yīng)用指紋加速��、超線程掃描等高速掃描技術(shù)�����,更好更快地保護(hù)您的信息安全��。
2����、江民網(wǎng)絡(luò)版的用戶(hù)請(qǐng)及時(shí)升級(jí)控制中心和所有客戶(hù)端��,并且進(jìn)行全網(wǎng)的病毒查殺����,最大程度地保障企業(yè)的信息安全���。
3���、開(kāi)啟江民殺毒軟件的主動(dòng)防御功能。該功能采用智能沙盒技術(shù)��,不僅可以更加準(zhǔn)確地判別程序行為����,還可迅速恢復(fù)病毒對(duì)系統(tǒng)造成的破壞與修改,令您輕松擺脫病毒的困擾�。
4��、江民殺毒軟件擁有強(qiáng)大的自我保護(hù)功能��,能夠有效避免病毒的肆意破壞和干擾運(yùn)行�����,為自身和系統(tǒng)同時(shí)加上了“金鐘罩”般的強(qiáng)力保護(hù)。
5���、開(kāi)啟江民殺毒軟件的網(wǎng)頁(yè)數(shù)據(jù)流監(jiān)控功能��。該功能可以更好地防御各種形式的網(wǎng)頁(yè)病毒���,為您的網(wǎng)上沖浪撐起保護(hù)傘。
6����、開(kāi)啟江民殺毒軟件的BootScan功能,在系統(tǒng)登陸前進(jìn)行病毒查殺�����,清除頑固病毒更加方便�����、徹底�。
7、建議使用安全專(zhuān)家內(nèi)置的RootKit掃描功能�����。該功能可以對(duì)惡意程序深度隱藏的項(xiàng)目進(jìn)行檢測(cè)和清除,使惡意程序無(wú)處藏身����。
8、建議使用安全專(zhuān)家內(nèi)置的漏洞掃描功能����。該功能掃描系統(tǒng)漏洞更加全面、準(zhǔn)確�����,修復(fù)速度更加快捷��。同時(shí)新增常見(jiàn)第三方軟件漏洞掃描功能���,使防護(hù)更全面�����,保護(hù)更徹底,不給病毒利用漏洞進(jìn)行傳播的機(jī)會(huì)�����。
9、如果您尚未安裝江民殺毒軟件���,推薦您使用江民免費(fèi)在線查毒進(jìn)行病毒查證��。免費(fèi)在線查毒地址:http://online.jiangmin.com/
有關(guān)更詳盡的病毒技術(shù)資料請(qǐng)直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢(xún)��,或訪問(wèn)江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱����。
