天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

华军病毒播报:“邪恶基因”变种kih

2011-2-25华军资讯佚名

华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。另外在此提醒您,及时更新病毒库和为系统打上最新补丁对于保护电脑安全非常重要,建议定期更新杀软病毒库,关注安全漏洞新闻。

英文名称:Trojan/Inject.myk

中文名称:“植木马器”变种myk

病毒长度:61440字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:1b0a525810e4c4b7d48e744cfbacda55

特征描述:

Trojan/Inject.myk“植木马器”变种myk是“植木马器”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“植木马器”变种myk运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“ggdrive32.exe”,并调用命令隐秘运行。在被感染系统的“%USERPROFILE%\”文件夹下释放恶意文件“bnet.exe”和“serv.exe”,并将“bnet.exe”复制到系统盘的“\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\”文件夹下,重新命名为“syitm.exe”。在系统盘根目录和“\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\”文件夹下分别释放恶意文件“xdx.exe”和“acleaner.exe”。后台秘密窃取当前系统的配置信息,然后从骇客指定的URL“http://www.ni*on.to/cgi-bin/prxjdg.cgi”、“http://two.na*raoi.com/”、“http://xppc*pgirl.com/udv.exe”下载恶意程序并调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。秘密连接骇客指定的IP“60.190.*.125”,侦听骇客指令,在被感染的计算机上执行相应的恶意操作。骇客可通过“植木马器”变种myk完全远程控制被感染的计算机系统,致使被感染系统用户的个人隐私面临着严重的威胁。另外,“植木马器”变种myk会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。

英文名称:Trojan/Scar.gqq

中文名称:“毒疤”变种gqq

病毒长度:86016字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:1966e271fa7aa2393f57e559de9bb85d

特征描述:

Trojan/Scar.gqq“毒疤”变种gqq是“毒疤”家族中的最新成员之一,采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“毒疤”变种gqq运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意程序“piajp.exe”并调用运行。自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“system.exe”。恶意程序“piajp.exe”运行时,会在被感染系统的后台连接骇客指定站点“sc.a*08.com:8080/File/sc.txt”,获取恶意程序下载列表,下载指定的恶意程序“01.exe”、“04.exe”、“05.exe”、“08.exe”、“16.exe”等并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了不同程度的损失。“piajp.exe”运行时还会在当前桌面上新建假冒的IE浏览器快捷方式、图标“免费电影C”、“改变你的一生”、“淘宝购物A”,从而诱导用户访问“http://www.sfc*8.com/taobao.htm”,给骇客增加了非法的经济收入。另外,“毒疤”变种gqq会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。

英文名称:Trojan/Genome.kih

中文名称:“邪恶基因”变种kih

病毒长度:204288字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:b1f24670b47896cccbc53a9d2fa9b8fa

特征描述:

Trojan/Genome.kih“邪恶基因”变种kih是“邪恶基因”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,经过加壳保护处理。“邪恶基因”变种kih运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“VMwarp.exe”。在“%SystemRoot%\system32\”文件夹下释放恶意程序“tmsm.exe”,在被感染计算机系统的“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下释放恶意程序“url.exe”、“bj.exe”、“Kill.exe”,之后调用运行。“url.exe”运行后,会在“%SystemRoot%\system32\”文件夹下释放恶意程序“clientex.exe”,“clientex.exe”。“bj.exe”运行后,会尝试连接指定的安全站点(conf.f.360.cn、antispy.db.kingsoft.com 、bo.duba.net、 vc01.beike.cn、 vi.pc120.com等 ),还会和骇客指定的站点“gts*lcd.gicp.net”进行通讯。“Kill.exe”是一个木马下载工具,其会在“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“lqcyc52.cyc”然后重命名为“usp10.dll”(属性设置为“系统、隐藏”),从而达到替换系统DLL的目的。其会在被感染系统的后台连接骇客指定的远程站点,读取加密的配置文件,之后进行自升级和下载其它恶意程序等操作。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了更多的威胁。

英文名称:Packed.Klone.hcu

中文名称:“克隆先生”变种hcu

病毒长度:167936字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:d871139fc406db8e3f54bf57033597b0

特征描述:

Packed.Klone.hcu“克隆先生”变种hcu是“克隆先生”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“克隆先生”变种hcu运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“twking0.dll”,之后自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“twking.exe”。以上文件的属性会被设置为“系统、隐藏、只读”。“克隆先生”变种hcu运行时,会将恶意代码插入到系统桌面程序“explorer.exe”等几乎所有的进程中隐秘运行,并在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。“克隆先生”变种hcu是一个专门盗取指定网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“克隆先生”变种hcu会在被感染系统注册表启动项中添加键值的方式实现开机自启。“克隆先生”变种hcu采用了反调试技术,这会给病毒的分析造成不便,从而增强了自身的生存几率。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行