病毒播报:U盘寄生虫和橘色诱惑

2009/7/16 来源:www.arpun.com 作者:小白

在今天的病毒中Worm/AutoRun.ikl“U盘寄生虫”变种ikl和Trojan/Chifrax.ok“橘色诱惑”变种ok值得关注。

  英文名称:Worm/AutoRun.ikl

  中文名称:“U盘寄生虫”变种ikl

  病毒长度:47549字节

  病毒类型:蠕虫

  危险级别:★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:b6908386c8e416fbf1fe305197925b6d

  特征描述:

  Worm/AutoRun.ikl“U盘寄生虫”变种ikl是“U盘寄生虫”蠕虫家族中的最新成员之一, 采用高级语言编写, 并且经过加壳保护处理。 “U盘寄生虫”变种ikl运行后, 会自我复制到被感染系统的“C:\Program Files\Common Files\”目录下, 重新命名为“SysAnti.exe”, 文件属性设置为“系统、隐藏”。 在“%SystemRoot%\fonts\”目录下释放随机文件名的恶意DLL组件“*.DLL”, 同时还会在“%SystemRoot%\fonts\”和“%USERPROFILE%\Local Settings\”目录下分别释放随机文件名的恶意驱动程序“*.fon”和“Temp~*.tmp”。 安装完成后, 该蠕虫会将自身删除, 以此消除痕迹。 “U盘寄生虫”变种ikl在运行时, 会替换系统文件“explorer.exe”。 创建新的“svchost.exe”和“iexplorer.exe”进程, 并将恶意代码注入其中。 利用其释放的恶意驱动程序关闭指定安全软件的自保护功能, 从而可以轻松地终止、关闭这些安全软件的进程或窗口。 强行篡改注册表, 删除指定安全软件的启动项, 还会利用映象劫持功能, 干扰大量系统工具、安全软件、诊断工具等的正常运行。 修改系统中的hosts文件, 致使用户无法访问一些安全站点, 从而更好的达到了自我保护的目的。 在被感染计算机的系统盘根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫主程序文件(文件属性设置为“系统、隐藏”), 以此实现了双击盘符后激活蠕虫的目的。 “U盘寄生虫”变种ikl会在被感染系统的后台连接骇客指定的站点“http://0519q*.cn/ceshi/”, 获取恶意程序下载列表“qq.txt”, 然后下载大量的恶意程序并自动调用运行。 另外还会从“http://down.*yue.info/down.php?id=”下载其它的恶意程序, 从而对被感染系统的用户造成更多的威胁。 “U盘寄生虫”变种ikl会通过连接指定页面“http://0519q*.cn/tj/count.asp”的方式进行感染信息的统计。 另外, 其会在被感染系统注册表启动项中添加键值, 以此实现开机后自动运行。

  英文名称:Trojan/Chifrax.ok

  中文名称:“橘色诱惑”变种ok

  病毒长度:162991字节

  病毒类型:木马

  危险级别:★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:003a25d5d2df4cabc798a610ce2be540

  特征描述:

  Trojan/Chifrax.ok“橘色诱惑”变种ok是“橘色诱惑”木马家族中的最新成员之一, 采用SFX自解压格式存储。 “橘色诱惑”变种ok运行后, 会解压恶意文件“1.exe”和“360.bat”到被感染系统的临时文件夹下。 在被感染系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“Hies.dll”, 文件属性设置为“隐藏”。 “橘色诱惑”变种ok会修改注册表, 从而关闭某些安全软件的监控。 不断尝试与控制端(地址为:lovelmfs.vi*p.net:5201)进行连接, 一旦连接成功, 则被感染的计算机就会沦为骇客的傀儡主机。 骇客可以向被感染的系统发送恶意指令, 从而执行任意控制操作(控制操作包括但不限于:文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、视频监控等), 会给用户的个人隐私甚至是商业机密造成不同程度的损失。 同时, 骇客还可以向傀儡主机发送大量的恶意程序, 从而对用户构成了更加严重的威胁。 “橘色诱惑”变种ok会通过修改系统服务“HidServ”、“BITS”的方式实现木马的开机自启。

网友评论
评论(...
全部评论