英文名称:Trojan/Swisyn.rhg
中文名称:“广告徒”变种rhg
病毒长度:103930字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:41f91cc69edf87928c211567872ff9cc
特征描述:
Trojan/Swisyn.rhg“广告徒”变种rhg是“广告徒”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“广告徒”变种rhg运行后,会自我复制到被感染系统的“%SystemRoot%\system32\4eYAKuH\”和“%SystemRoot%\system32\F8JSY2l\”文件夹下,分别重新命名为“F8JSY2l.exe”和“4eYAKuH.exe”。在“%SystemRoot%\system32\4eYAKuH\”文件夹下释放恶意程序“attrib.exe”和“cacls.exe”,在系统盘根目录下新建名为“N123P”的文件夹并在其中释放恶意程序“svchost.exe”和“ctfmon.exe”。“4eYAKuH.exe”运行后,会释放恶意程序“explorer.exe”和恶意DLL组件“usp10.dll”到被感染计算机内大多数文件夹下。后台遍历当前系统正在运行的所有进程,如果发现某些指定的安全软件存在,“广告徒”变种rhg便会尝试将其强行关闭,从而达到自我保护的目的。“广告徒”变种rhg运行时会定时弹出广告网页或窗口,会对用户正常的电脑操作造成不同程度的干扰。强行设置IE浏览器的默认主页为骇客指定站点“www.se*ppp.com”,还会在桌面上创建指向该站点的假冒IE快捷方式,从而为其增加了访问量,给骇客带来了非法的经济利益。
英文名称:Trojan/Antavmu.chl
中文名称:“伪程序”变种chl
病毒长度:16384字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:83e100b00a802a133b23cb8403e6033b
特征描述:
Trojan/Antavmu.chl“伪程序”变种chl是“伪程序”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“伪程序”变种chl运行后,会执行命令“cacls.exe %SystemRoot%\system32\cmd.exe /e /t /g everyone:F”来赋予所有用户对cmd.exe的控制权限。将被感染系统“%programfiles%\360safe\safemon\safemon.dll”重命名为“safemes.dll”,将“%programfiles%\Rising\AntiSpyware\ieprot.dll”重命名为“iepret.dll”。删除“%SystemRoot%\system32\”文件夹下的旧版本病毒文件“ttjj33.ini”、“SoundMan.exe”、“zozzo.exe”、“vpcma.exe”、“soliee.exe”、“inertno.exe”、“xox.exe”、“zozo.exe”、“sosos.exe”、“solin.exe”、“inertne.exe”、“notepde.exe”。强行关闭服务“wscsvc”、“sharedaccess”、“KPfwSvc”、“KWatchsvc”、“McShield”、“Norton AntiVirus Server”。创建进程快照,如果发现名为“shstat.exe”、“runiep.exe”、“ras.exe”、“MPG4C32.exe”、“imsins.exe”、“Iparmor.exe”、“360safe.exe”、“360tray.exe”、“kmailmon.exe”、“kavstart.exe”、“avp.exe”、“SonndMan.exe”、“Vmware.exe”、“exename”、“vpcma.exe”、“cmd.exe”、“cacls.exe”、“notepde.exe”的进程,“伪程序”变种chl则会试图强行将其结束。在被感染系统的“%SystemRoot%\”文件夹下释放恶意程序“BarClientServer.exe”,在“%SystemRoot%\system32\”文件夹下释放“inertno.exe”。在“%SystemRoot%\system32\”文件夹下释放配置文件“ttjj34.ini”。在被感染系统中新建名为“new1”、密码为“12369”的用户,为骇客留下后门,致使被感染系统可被不法分子远程登录、控制,进而沦为攻击跳板或肉鸡。“伪程序”变种chl在运行完毕后,会通过创建批处理文件并在后台调用执行的方式来删除自我。另外,其会修改系统服务“helpsvc”,以此实现自动运行。
英文名称:TrojanDownloader.FlyStudio.bur
中文名称:“苍蝇贼”变种bur
病毒长度:1305715字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:86d7c346b43da763b2994113f2acdbea
特征描述:
TrojanDownloader.FlyStudio.bur“苍蝇贼”变种bur是“苍蝇贼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“苍蝇贼”变种bur运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”和“%USERPROFILE%\Local Settings\Temp\000209BA_Rar\”文件夹下,重新命名为“XP-D41D8CD9.EXE”。在“%USERPROFILE%\Local Settings\Temp\00031E18_Rar\”文件夹下释放经过加壳保护的恶意文件“XP-A9223A74.EXE”。在“%USERPROFILE%\Local Settings\Temp\E_4\”文件夹下释放恶意文件“spec.fne”、“shell.fne”、“RegEx.fne”、“krnln.fnr”、“internet.fne”、“eAPI.fne”、“dp1.fne”、“com.run”,然后复制到“%SystemRoot%\system32\”下。在被感染系统的后台连接骇客指定的站点“www.ba*he.googlepages.com”、“www.blog*user.googlepages.com”、“l*z.zp.ua”、“maced*onia.my1.ru”,下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“苍蝇贼”变种bur会通过U盘进行自身传播。另外,其会在开始菜单“启动”文件夹下添加指向自身副本的快捷方式,以此实现自动运行。