英文名称:Trojan/Buzus.ahbu
中文名称:“霸族”变种ahbu
病毒长度:45216字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:08a09122835c
特征描述:
Trojan/Buzus.ahbu“霸族”变种ahbu是“霸族”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“霸族”变种ahbu运行后,会自我复制到被感染系统的“%USERPROFILE%\Application Data\”文件夹下,重新命名为“Hbiyif.exe”。“霸族”变种ahbu会利用IRC协议(互联网中继聊天)与服务器“poli***delsur.com”建立连接,并与服务器进行命令交互,以此实现远程控制的目的。其可根据服务器发送的指令,以FTP和HTTP的方式下载网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给被感染系统用户造成了更多的侵害。其还会对指定IP发动DDos攻击、向MSN联系人发送带毒压缩文件,从而造成了更大的破坏与威胁。
据悉“霸族”变种ahbu在后台秘密窃取系统中的机密信息,并在后台将窃得的信息发送到骇客指定的站点或邮箱中(地址加密存放),给被感染系统用户造成了不同程度的损失。后台遍历当前系统正在运行的所有进程,如果发现某些指定的安全软件存在,“霸族”变种ahbu便会尝试将其强行关闭,从而达到自我保护的目的。另外,“霸族”变种ahbu会在被感染系统注册表启动项中添加键值,以此实现自动运行。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
英文名称: Trojan/Invader.err
中文名称:“入侵者”变种err
病毒长度:37231字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:27d7154a5cc036135235e
特征描述:
Trojan/Invader.err“入侵者”变种err是“入侵者”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“入侵者”变种err运行后,会在“%SystemRoot%\fonts\”文件夹下释放恶意文件“mgt17002.ttf”。在“%SystemRoot%\system32\”文件夹下释放恶意文件“mgt17002.ocx”、“mgt99018.ocx”。将释放的恶意DLL组件“mgt99018.ocx”和“mgt17002.ocx”插入到系统桌面程序“explorer.exe”等几乎所有的进程中隐秘运行。后台执行相应的恶意操作,以此隐藏自我,防止被轻易地查杀。
据悉“入侵者”变种err是一个专门盗取网络游戏“剑侠世界Online”会员账号的木马程序,其会在后台秘密监视系统中运行的所有应用程序的窗口标题,一旦发现指定程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。“入侵者”变种err在运行完成后会将自身删除,从而达到消除痕迹的目的。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
英文名称:Trojan/Bat.cb
中文名称:“bat侵略者”变种cb
病毒长度:32315字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:627f4da59238u234c
特征描述:
Trojan/Bat.cb“bat侵略者”变种cb是“bat侵略者”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“bat侵略者”变种cb运行后,会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意批处理文件“winnt32.bat”和恶意文件“exeD.tmp”。然后执行批处理文件“winnt32.bat”。“winnt32.bat”运行后,会在“D:\soft\bat\v9.0\”文件夹下释放恶意文件“winnt32.exe”,然后把“winnt32.exe”复制到“%SystemRoot%\system32\”、“%SystemRoot%\repair\”、“%SystemRoot%\”、“%SystemRoot%\”文件夹下,分别重命名为“WinUpdate.exe”、“internet.exe”、“winu.exe”、“pat32.exe”。还会把“%SystemRoot%\”文件夹下的文件“win32.exe”复制到“%SystemRoot%\system32\”文件夹下。
据悉,“bat侵略者”变种cb强行篡改被感染系统的“hosts”文件,向其中添加许多站点,利用域名映像劫持特性来屏蔽被感染计算机与这些站点的连接。试图强行删除某些与安全软件相关的注册表键,致使指定的安全软件无法开启监控和自我保护等功能。后台定时访问指定的站点“www.b**.cn”;在桌面创建恶意图标“Google标准搜索.url”和“资讯摘要.url”,当用户点击这些图标时就会连接到骇客指定的网站“www.b**.cn”,以此提高这些网站的访问量(网络排名),给骇客带来了非法的经济利益,还会对用户正常的电脑操作造成不同程度的干扰。另外,“bat侵略者”变种cb还会占用大量的系统资源,极大地降低了系统的运行速度。“bat侵略者”变种cb在运行完成后会将自身删除,从而达到消除痕迹的目的。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
以上信息由上海市信息化服务热线(热线电话:9682000)提供。