天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

警惕“灰鸽子”变种bded

2010-11-24华军华军
华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。

英文名称:Packed.Black.qqp

中文名称:“黑点”变种qqp

病毒长度:349184字节

病毒类型:木马

危险级别:★

影响平台:Win 2000/XP/2003/Vista/2008/WIN7

MD5 校验:06a5485066fadadcea62fbe96bd8d240

特征描述:

Packed.Black.qqp“黑点”变种qqp是“黑点”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“黑点”变种qqp运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下。其会将恶意代码插入到系统桌面程序“explorer.exe”进程中加载运行,并且会在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。其还会在被感染系统的后台连接骇客指定的远程站点“http://www.sf*168.com”,下载恶意程序“m.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“黑点”变种qqp属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的远程站点“ki*adf.3322.org”,获取客户端的IP地址,然后侦听骇客指令,从而达到被远程控制的目的。该木马具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“黑点”变种qqp的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外,“黑点”变种qqp会在被感染计算机中注册名为“WindowsRemote”的系统服务,以此实现开机自启。

英文名称:Backdoor/Huigezi.bded

中文名称:“灰鸽子”变种bded

病毒长度:633166字节

病毒类型:后门

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:4d4ac63eadf00158c746e382de3a46d4

特征描述:

Backdoor/Huigezi.bded“灰鸽子”变种bded是“灰鸽子”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“灰鸽子”变种bded运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放、显示国旗图片,还会在该文件夹下释放恶意程序“ok.exe”,之后将其复制到“%SystemRoot%\”文件夹下,重新命名为“mm.exe”(文件属性设置成为“系统、只读、隐藏”)。“mm.exe”属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的远程站点“yang*bin.3322.org”,获取客户端的IP地址,然后侦听骇客指令,从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能,可以监视用户的键盘输入、屏幕显示、文件读写、摄像头操作等,还可以窃取、修改或删除用户计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密造成不同程度的侵害。感染“灰鸽子”变种bded的系统还会根据骇客指令对指定站点发起DDoS攻击、洪水攻击等,从而对互联网的安全造成了更多的威胁。另外,“灰鸽子”变种bded会在被感染系统中注册名为“m”的系统服务,以此实现开机自动运行。

英文名称:Backdoor/Wuca.mq

中文名称:“舞客”变种mq

病毒长度:16412字节

病毒类型:后门

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:a09322652acd0c9f6551bdf858a2b52d

特征描述:

Backdoor/Wuca.mq“舞客”变种mq是“舞客”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“舞客”变种mq运行后,会读取被感染系统“%SystemRoot%\system32\config\”文件夹下的文件“default”,然后执行命令“cmd /c taskkill /im cfmon.exe /f”和“cmd /c taskkill /im conlme.exe /f”。还会在“%SystemRoot%\Tasks\”文件夹下释放恶意程序“KPM.exe”。其会自我复制到被感染系统的“%programfiles%\Common Files\%SESSIONNAME%\”文件夹下,重新命名为“conlme.exe”,然后会向其中添加恶意代码。在被感染计算机的后台秘密窃取用户当前系统的配置信息,然后从骇客指定的站点“d.qq16*00.com”下载恶意程序“b.jpg”并调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“舞客”变种mq运行时还会强行将IE浏览器的默认主页设置为骇客指定站点“http://www.07*29.com/”,致使用户在打开浏览器后便会自动访问该站点,从而为其增加了访问量,给骇客带来了非法的经济利益。另外,其会在开始菜单“启动”文件夹下添加名为“tencenk”的快捷方式(指向后门程序“conlme.exe”),以此实现开机自动运行。

英文名称:Trojan/Generic.rwc

中文名称:“通犯”变种rwc

病毒长度:64025字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003/Vista

MD5 校验:017ddf98a2a90d4a01cb58c3df5f28c7

特征描述:

Trojan/Generic.rwc“通犯”变种rwc是“通犯”家族中的最新成员之一,采用“MicROSoft Visual C++ 6.0”编写,经过加壳保护处理。“通犯”变种rwc运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“tkh.dll”,在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“mlv.sys”。在被感染计算机的后台遍历当前系统中运行的所有进程,一旦发现某些安全软件的进程存在,便会尝试将其结束,以此达到自我保护的目的。“通犯”变种rwc运行时,会在被感染系统的后台连接骇客指定的远程站点“61.147.*.204”,获取恶意程序下载列表,然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。

本文来源:华军 作者:华军

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行