江民4.16病毒播报:键盘终结者和克隆先生TrojanSpy.KeyLogger.aii

2009/4/16 来源:www.arpun.com 作者:小白

江民今日提醒您注意:在今天的病毒中TrojanSpy.KeyLogger.aii“键盘终结者”变种aii和Packed.Klone.yi“克隆先生”变种yi值得关注。

  英文名称:TrojanSpy.KeyLogger.aii

  中文名称:“键盘终结者”变种aii

  病毒长度:90112字节

  病毒类型:间谍木马

  危险级别:★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:59daf73a2bbb4bb428d9a0305e6f07a8

  特征描述:

  TrojanSpy.KeyLogger.aii“键盘终结者”变种aii是“键盘终结者”间谍木马家族中的最新成员之一, 采用“Microsoft Visual C++ 6.0”编写, 并且经过加壳保护处理。 “键盘终结者”变种aii运行后, 会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下, 重新命名为“SevenSowrdSvr.exe”和“SysSevenSowrd.exe”。 同时, 还会在相同目录下释放恶意驱动程序“sevenlog.sys”, 并生成日志文件“sevenlog.txt”, 以此记录程序的运行状态。 “键盘终结者”变种aii运行时, 会将恶意代码注入到新创建的“svchost.exe”进程中隐密运行, 从而防止被轻易地查杀。 在被感染计算机的后台秘密监视用户打开的所有窗口的标题, 一旦发现带有“银行”、“支付”、“财付通”等关键字的窗口便开始记录键击。 该木马具有普通的键盘记录功能, 以及驱动级的按键监视能力, 即使是一些受保护的键盘输入也会被记录。 该木马会窃取用户输入的机密信息, 将当前的键盘操作、窗口标题、时间等信息记录到指定的文件中, 并在后台将记录的内容发送到骇客指定的邮箱里(地址加密存放), 从而给被感染计算机用户造成了不同程度的损失。 另外, “键盘终结者”变种aii会通过在注册表启动项中添加键值“SevenSowrd”和注册系统服务“SevenSword”的方式实现木马的开机自动运行。

  英文名称:Packed.Klone.yi

  中文名称:“克隆先生”变种yi

  病毒长度:655872字节

  病毒类型:木马

  危险级别:★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:d30dbbbb9242b7265a9f34238f0a1df9

  特征描述:

  Packed.Klone.yi“克隆先生”变种yi是“克隆先生”木马家族中的最新成员之一, 采用高级语言编写, 并且经过加壳保护处理。 “克隆先生”变种yi运行后, 会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放随机文件名的恶意DLL组件。 反向连接骇客的控制端(wongmen.meibu.org:13620), 一旦连接成功, 则被感染的计算机便会沦为骇客的傀儡主机。 “克隆先生”变种yi会在被感染计算机的后台秘密窃取用户当前系统的敏感信息, 并在后台将窃得的信息发送到骇客指定的服务器上, 从而给用户的隐私造成不同程度的侵害。 该木马还可以从骇客指定的站点上下载恶意程序并调用运行, 其中, 所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等, 致使用户面临更多的威胁。 “克隆先生”变种yi会控制被感染计算机的音频设备, 还会操作鼠标进行模拟按键操作, 从而绕过某些主动防御软件的警告。 另外, “克隆先生”变种yi会在被感染计算机中注册名为“.Net CLR”的系统服务, 以此实现木马的开机自启。

网友评论
评论(...
全部评论