中文名稱:"代理木馬"變種afww
病毒長(zhǎng)度:26030字節(jié)
病毒類型:木馬釋放器
危險(xiǎn)級(jí)別:★★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):fa628cf886fd11b503612fe2745f6128

特征描述:
TrojanDropper.Agent.afww"代理木馬"變種afww是"代理木馬"家族中的最新成員之一,經(jīng)過(guò)加殼保護(hù)處理。"代理木馬"變種afww運(yùn)行后,會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"目錄下,重新命名為"scvhost.exe"。在該目錄下釋放惡意DLL組件"test.tt",在"%SystemRoot%"目錄下釋放惡意程序"*.exe"(*為隨機(jī)數(shù)),在"%SystemRoot%system32drivers"目錄下釋放惡意驅(qū)動(dòng)程序"pcidump.sys",另外還會(huì)復(fù)制系統(tǒng)文件"wininet.dll"到臨時(shí)文件夾下以供調(diào)用。"代理木馬"變種afww可以穿透一些系統(tǒng)還原程序的保護(hù),并用惡意文件覆蓋"explorer.exe"。其會(huì)用正常的"explorer.exe"替換"%SystemRoot%system32driversgm.dls",之后將其復(fù)制到"%SystemRoot%TEMPexplorer.exe",通過(guò)對(duì)該文件進(jìn)行調(diào)用,使得用戶開機(jī)時(shí)能夠正常顯示桌面,以此蒙蔽了用戶。其會(huì)監(jiān)視并關(guān)閉可能彈出的"Windows文件保護(hù)"窗口,從而使其在替換系統(tǒng)文件時(shí)不被用戶所發(fā)現(xiàn)。"危鬼"變種dz運(yùn)行時(shí),會(huì)關(guān)閉并禁用系統(tǒng)防火墻、Windows安全中心服務(wù)。關(guān)閉安全軟件的自我保護(hù)功能,終止大量的安全軟件、系統(tǒng)工具、應(yīng)用程序的進(jìn)程,同時(shí)還會(huì)通過(guò)關(guān)閉相關(guān)的服務(wù)、刪除關(guān)鍵文件、利用注冊(cè)表映像劫持等方式,干擾這些安全軟件的正常運(yùn)行,致使用戶的計(jì)算機(jī)失去保護(hù)。利用域名映像劫持屏蔽大量的安全類站點(diǎn),使得用戶無(wú)法通過(guò)網(wǎng)絡(luò)獲取病毒查殺信息。在被感染系統(tǒng)的后臺(tái)連接經(jīng)過(guò)多次解密后得到的URL"http://fack.dns075*.net/88.txt",讀取該文件中存放的下載地址,然后下載惡意程序并自動(dòng)調(diào)用運(yùn)行。其中,所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制木馬、廣告程序等,致使用戶面臨更多的威脅。另外,其還會(huì)向駭客指定的頁(yè)面"http://zhongt*.com/tj/v7/count.asp"反饋被感染計(jì)算機(jī)的基本信息。"代理木馬"變種afww會(huì)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值"360safe",以此實(shí)現(xiàn)木馬"scvhost.exe"的開機(jī)自啟。

英文名稱:Backdoor/Katien.e
中文名稱:"歪卡"變種e
病毒長(zhǎng)度:49152字節(jié)
病毒類型:后門
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):1118ef48df5b1337c2ee1749f08f2e9c

特征描述:
Backdoor/Katien.e"歪卡"變種e是"歪卡"家族中的最新成員之一,采用"Microsoft Visual C++ 7.0"編寫。"歪卡"變種e可利用IRC協(xié)議(互聯(lián)網(wǎng)中繼聊天)與服務(wù)器(error.isa*geek.net:6667等)進(jìn)行命令交互,其會(huì)從自帶的十八個(gè)域名中隨機(jī)選取進(jìn)行連接,直到連接成功,以此達(dá)到了遠(yuǎn)程控制的目的。"歪卡"變種e可根據(jù)服務(wù)器傳送的指令,執(zhí)行下載惡意程序、對(duì)指定IP地址及端口發(fā)動(dòng)DDos攻擊、自動(dòng)更新客戶端、系統(tǒng)服務(wù)管理等操作,從而給用戶造成不同程度的安全威脅。另外,"歪卡"變種e會(huì)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值"Service",以此實(shí)現(xiàn)后門的開機(jī)自動(dòng)運(yùn)行。

分享到

kuangmin

相關(guān)推薦