江民今日提醒您注意:在今天的病毒中Trojan/KillAV.yk“AV杀手”变种yk和Trojan/PSW.QQPass.uzf“QQ大盗”变种uzf值得关注。
英文名称:Trojan/KillAV.yk
中文名称:“AV杀手”变种yk
病毒长度:53292字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:636a08d8977e166255003557c0aa232e
特征描述:
Trojan/KillAV.yk“AV杀手”变种yk是“AV杀手”木马家族中的最新成员之一, 采用高级语言编写, 并且经过加壳保护处理。 “AV杀手”变种yk运行后, 会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放恶意DLL组件“dll*.dll”(包含随机的三位数), 在“%SystemRoot%\system32\”目录下释放恶意文件“appwinproc.dll”、“Nskhelper2.sys”和“nsPass*.sys”等。 创建“svchost.exe”进程, 并将自身代码注入其中隐密运行, 从而实现自我的隐藏, 防止被轻易地查杀。 监视当前系统中的进程, 如果发现有调试工具的进程存在, 便会自动退出。 利用释放的恶意驱动程序, 以多种方式干扰安全软件的运行, 致使用户的计算机系统失去安全软件的保护。 利用操作系统文件映像劫持特性, 干扰大量安全软件、系统工具的正常运行。 另外, 还会通过篡改系统“hosts”文件的方式屏蔽大量安全软件厂商的站点, 从而阻止用户对这些网站的访问, 进一步地提升了自身的生存几率。 “AV杀手”变种yk会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://vvv.ccc***bbb.cn”, 读取配置文件“../number/list.txt”, 下载大量的恶意程序并自动调用运行。 其中, 所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等, 致使被感染计算机用户面临不同程度的风险。 另外, “AV杀手”变种yk会在被感染计算机系统所有分区的根目录下创建“autorun.inf”(自动播放配置文件)和木马程序, 并将这些文件的属性设置为“系统、隐藏、只读、存档“, 以此实现双击盘符激活木马的目的, 从而达到了利用硬盘、U盘等存储设备进行自我传播的目的, 给被感染计算机用户造成更多的威胁。
英文名称:Trojan/PSW.QQPass.uzf
中文名称:“QQ大盗”变种uzf
病毒长度:48548字节
病毒类型:盗号木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:b806903fea0ecd78991d5f091dc42f43
特征描述:
Trojan/PSW.QQPass.uzf“QQ大盗”变种uzf是“QQ大盗”木马家族中的最新成员之一, 采用“Borland Delphi 6.0 - 7.0”编写, 并且经过加壳保护处理。 “QQ大盗”变种uzf是一个通过弹出伪装的“QQ”中奖消息窗口来诱骗用户上当, 从而实施网络诈骗的木马程序。 “QQ大盗”变种uzf运行后, 会将恶意代码注入到“explorer.exe”进程中隐密运行。 遍历当前系统中所有运行的进程, 一旦发现指定的安全软件正在运行, 便会尝试将其结束, 致使被感染计算机用户失去安全软件的保护。 修改注册表, 利用操作系统文件映像劫持特性, 干扰大量安全软件的正常运行。 “QQ大盗”变种uzf运行时, 会在系统托盘区域模仿闪动的“QQ”广播图标。 当用户点击该图标后, 会弹出提示用户中奖的窗口, 并进一步将用户引导至钓鱼网站“http://www.qq.com.qq**m.cn/”实施进一步的诈骗。 同时, 该恶意网站可能还会存在网页挂马等恶意行为, 从而致使被感染计算机用户面临更多不同程度的风险。 另外, “QQ大盗”变种uzf会通过在注册表启动项中添加键值“QQ”的方式来实现木马的开机自动运行。
据瑞星全球反病毒监测网介绍, 今日有一个病毒特别值得注意, 它是:“U盘蠕虫下载器变种FGO(Worm.Win32.Autorun.fgo)”病毒。
