ARP联盟图文中心下载中心手机频道最近更新软件最近更新文章网络热点
您当前的位置→图文中心新闻资讯安全播报病毒播报:系统杀手和魔兽贼变种
站内搜索:

病毒播报:系统杀手和魔兽贼变种


2009/6/25  编辑:佚名 来源:本站整理 

在今天的病毒中Trojan/AntiAV.bb“系统杀手”变种bb和Trojan/PSW.WOW.afj“魔兽贼”变种afj值得关注。

  英文名称:Trojan/AntiAV.bb
  中文名称:“系统杀手”变种bb
  病毒长度:977920字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:a035c4e18934fd03f782044313e52e74
  特征描述:
  Trojan/AntiAV.bb“系统杀手”变种bb是“系统杀手”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“系统杀手”变种bb运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“msdwdf.dll”,在“%SystemRoot%\”目录下释放恶意DLL组件“aboy.dll”,在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“pcidump.sys”和“acpiec.sys”。其释放的恶意驱动程序“acpiec.sys”可以关闭安全软件的自保护功能,还会终止大量的安全软件、系统工具、应用程序的进程,以及关闭相关的系统服务等,从而使得用户的计算机系统失去保护。“系统杀手”变种bb运行时,会修改“%SystemRoot%\system32\drivers\etc\hosts”文件,通过域名映像劫持功能屏蔽大量的安全类站点,致使用户无法获取安全信息。隐藏“Windows文件保护”提示窗口,使得木马在替换系统文件时不被用户所察觉。在所有磁盘分区中“.html”和“.htm”文件的尾部添加恶意代码,以此实施网页挂马。感染“C:\”以外分区中除了“qq.exe”和“360safe.exe”以外所有的“.exe”文件,被感染的文件可能因此遭受破坏而无法正常运行。被感染的文件运行后,会在后台下载指定的恶意程序“http://www.dfsgsdfgvsfv*we.cn/gan.exe”并调用运行。“系统杀手”变种bb还会在后台连接骇客指定的远程服务器站点,下载指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“系统杀手”变种bb可通过自动播放功能进行传播与破坏,其会在被感染系统的系统盘根目录下创建“autorun.inf”(自动播放配置文件)和木马主程序文件“1.exe”(“系统杀手”变种bb),文件属性设置为“系统、隐藏、只读”,以此实现双击盘符后激活木马,从而给计算机用户造成更多的威胁。利用“MS08-067”漏洞对大量指定的IP地址进行溢出攻击,存在漏洞的计算机一旦被其攻破,便可执行下载、运行恶意程序等恶意指令,从而对系统造成了十分严重的侵害。“系统杀手”变种bb会用自身替换系统桌面程序“explorer.exe”,以此实现了开机后自动运行。同时其释放的驱动程序“pcidump.sys”会将“%SystemRoot%\system32\drivers\gm.dls”的代码用原系统“explorer.exe”的代码进行替换,再将其复制到“%SystemRoot%\TEMP”目录下重新命名为“explorer.exe”。通过对该文件进行调用,使得系统在登录后能够正常显示桌面,从而减少了系统因中毒而表现出的异常,提高了自身的生存几率。

参考消息:http://www.arpun.com/  英文名称:Trojan/PSW.WOW.afj
  中文名称:“魔兽贼”变种afj
  病毒长度:19496字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:e93c4de49936fbfc29e93c60a287184a
  特征描述:
  Trojan/PSW.WOW.afj“魔兽贼”变种afj是“魔兽贼”盗号木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,是一个由其它恶意程序释放出来的DLL功能组件。尽快下载相关杀毒工具:www.arpun.com “魔兽贼”变种afj一般会被插入到系统桌面程序“explorer.exe”等几乎所有的进程中加载运行,并在后台执行恶意操作,隐藏自我,防止被轻易地查杀。“魔兽贼”变种afj是一个专门盗取“完美世界Online”网络游戏会员账号的木马程序,会通过安装消息钩子的方式截取用户的操作信息。如果确认自身已经插入到游戏进程“elementclient.exe”中,便会利用钩子和内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程服务器站点“http://www.a*45678.cn/”、“http://aczh.o*yque.cn”上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“魔兽贼”变种afj一般会通过在被感染系统注册表启动项中添加键值的方式来实现木马的开机自启。

更多精彩,请查看本类栏目: 新闻资讯 - 安全播报
除非注明,ARP联盟文章来于网络,投稿原创等,转载请以链接形式标明本文地址。
本文地址:http://www.arpun.com/article/3848.html

相关文章
  • ·[图文]神秘DNA侵袭人类祖先 根源竟来自远古病毒
  • ·[组图]寨卡病毒是进阶版人口灭绝招数?
  • ·[组图]塞卡病毒散播至整个美洲 或致新生儿小头症
  • ·[图文]安卓手机查杀流量病毒的方法
  • ·[图文]比u盘病毒防护盒更好用的U盘专杀工具
  • ·[组图]人们总以为这种病毒是幻想出的,法医从尸体上提取的东西令人后怕
  • ·[图文]ios新病毒Yispecter是什么?怎么卸载中毒app
  • ·[图文]Xcode病毒事件惊现 苹果安全神话再次被打破
  • 发表评论
    栏目列表
    阅读排行
    本类最新
    网站帮助 - 广告合作 - 下载声明 - 网站地图