英文名称:Backdoor/Gbot.emh
中文名称:“G波”变种emh
病毒长度:179200字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:26c9ab20b8ab1e60bf91aa3d977d43e0
特征描述:
Backdoor/Gbot.emh“G波”变种emh是“G波”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“G波”变种emh运行后,会自我复制到被感染系统的“%USERPROFILE%\Application Data\”文件夹下,重新命名为“dwm.exe”;还会在该文件夹下释放恶意程序“A6AA.1A3”。在“%USERPROFILE%\Application Data\Microsoft\”文件夹下释放恶意程序“conhost.exe”,在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放“csrss.exe”。“G波”变种emh运行时,会在被感染系统的后台连接骇客指定的站点“online*stitute.com”、“maildba*cess.com”、“mon*hrom.at”、“zon*dg.com”、“mil*wals.com”、“healthyl*fenow.com”、“xprs*ats.com”、“kinder*oys.com”、“media*dryvers.com”、“grav*atar.com”、“lostprop*aganda.net”、“onlineb*izdirectory.com”、“crazyleafdes*ign.com”、“hollandan*dbarrett.com”、“nationsaut*oelectric.com”、“onlinedatingsec*retfriends.com”、“mysmallho*mespace.com”、“resets*ystems-1.com”、“japanesegree*nteaonline.com”、“fol*usho.com”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“G波”变种emh会在被感染系统注册表启动项中添加键值,以此实现自动运行。
中文名称:“通犯”变种hpzw
病毒长度:122424字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:601bc4fefd929c21ce3b4ba8bc2ba9c4
特征描述:
Trojan/Generic.hpzw“通犯”变种hpzw是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“通犯”变种hpzw运行后,会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“ComA.tmp”,然后将“ComA.tmp”复制到“%SystemRoot%\”下,重新命名为“IiQcnXW.exe”。其还会把“mshtml.dll”、“dsound.dll”进行重命名备份。“通犯”变种hpzw是一个专门盗取网络游戏会员账号的木马程序,其会在被感染系统的后台秘密监视系统所运行程序的窗口标题,一旦发现指定程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。该木马的传播途径一般为网页木马,如果用户的计算机系统存在相应的漏洞,则会增加感染该病毒的风险,甚至是多次重复感染。“通犯”变种hpzw在运行完成后会将自身删除,从而达到消除痕迹的目的。
中文名称:“米伽”变种gst
病毒长度:288309字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:b3c1a638a749e7d99817ea608675c897
特征描述:
Trojan/Midgare.gst“米伽”变种gst是“米伽”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“米伽”变种gst运行后,会自我复制到被感染系统的“%SystemRoot%\”和“%SystemRoot%\system32\”文件夹下,重新命名为“chrome.exe”。文件属性设置为“系统、隐藏、只读、存档”。“米伽”变种gst会在系统盘“%SystemRoot%\system32\”下创建“autorun.inf”(自动播放配置文件)和木马主程序文件“chrome.exe”,以此实现双击盘符后自动运行的目的,给被感染计算机用户造成了更多的威胁。后台连接骇客指定的站点“h1.rip*ay.com”,读取配置文件“setting.ini”,然后根据其中的设置下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了不同程度的威胁。搜索系统中存储的电子邮件地址,之后会向其发送带毒邮件,从而达到自我传播的目的。另外,“米伽”变种gst会通过添加名为“AT1.job”的计划任务的方式实现自动运行。