英文名称:Backdoor/Trup.bu
中文名称:“逃犯”变种bu
病毒长度:39315字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:08a09c88bf12354eb32563c
特征描述:
Backdoor/Trup.bu“逃犯”变种bu是“逃犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“逃犯”变种bu运行后,会在“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“pncrt.dll”。在“%SystemRoot%\”文件夹下创建配置文件“vb.ini”、“al.ini”、“VC.ini”。会在当前桌面上创建一个“IE浏览器快捷方式”,当用户运行这个新建的“IE浏览器快捷方式”以后,其会打开骇客指定的URL“1.4***ha.com”,达到增加其访问量的目的。还会创建新的快捷方式“淘宝特卖”和“淘宝网.JE”,不仅给骇客带来收益,也可以给指定的网站带来经济利益。
据悉“逃犯”变种bu运行时,还会在被感染计算机系统强行下载并安装“易看高清播放器”、“酷狗”、“小白软件管家”、“7k7k游戏盒”等软件,从而给用户带来更多不便。该后门的传播途径一般为网页木马,如果用户的计算机系统存在相应的漏洞,则会增加感染该病毒的风险,甚至是多次重复感染。“逃犯”变种bu属于某恶意程序集合中的部分功能组件,如果感染此病毒,则说明系统中还感染了其它的恶意程序。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
英文名称:TrojanDropper.VB.aaje
中文名称:“视频宝宝”变种aaje
病毒长度:44236字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:27d7154a5cc03613545e
特征描述:
TrojanDropper.VB.aaje“视频宝宝”变种aaje是“视频宝宝”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写。“视频宝宝”变种aaje运行后,在被感染系统的“%programfiles%\common files\”文件夹下释放恶意图标文件“t.ico”、“d.ico”。文件属性设置为“系统、隐藏”。在被感染系统的用户桌面释放恶意快捷方式“internet explorer.hdh”、“在线小游戏.hyx”、“看电影.hpf”、“网上购物.htb”、“上网导航.h35”、“图片新闻.hli”,同时将这些文件对应复制到文件夹“\Documents and Settings\All Users\「开始」菜单\”下。设置这些图标的权限,使用户不能够删除。在注册表中创建“*.hdh”、“*.hyx”、“*.hpf”、“*.htb”、“*.h35”、“*.hli”等类型文件的关联信息,修改默认图标分别为IEXPLORE.EXE、SHELL32.dll、SHELL32.dll、t.ico、d.ico、SHELL32.dll,修改对应的打开命令的键值,从而达到用户双击运行对应类型的文件时会通过IE访问“http://www.he**uo.com/?1121 ”、“http://www.d**d.com/?1121”、“http://www.pi**ng.net/?1121”、“http://taobao.lo**o.com/?1121”、“http://www.35**.com/?1121”、“http://www.lo**o.com/?1121”的目的。还会在当前目录下释放恶意程序“网聚.exe”和“jies.bak.vbs”。
据悉“视频宝宝”变种aaje运行时,还会在用户的计算机系统中安装被称为“风影影视”的软件,这是一款网络电视程序。当运行恶意程序“网聚.exe”时,其会提供若干人体艺术网站浏览入口。还具有进程守护功能,当发现主程序被调试的时候,会强行结束运行。“视频宝宝”变种aaje在运行完成后会创建批处理文件并在后台调用执行,以此将自身删除。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
英文名称:Backdoor/Ruskill.hp
中文名称:“洛克”变种hp
病毒长度:35132字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:9c28cf119b4579e74332451c
特征描述:
Backdoor/Ruskill.hp“洛克”变种hp是“洛克”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“洛克”变种hp运行后,会自我复制到被感染系统文件夹的“RECYCLER\S-1-5-21-0243556031-888888379-781863308-3428\”文件夹下,重新命名为“z1yth2r3b1t.exe”。“洛克”变种hp属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的站点“p130h***ch.com”,获取客户端IP地址,侦听骇客指令,从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。
据悉“洛克”变种hp还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“洛克”变种hp的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等,给互联网的信息安全造成了更多的威胁。该后门的传播途径一般为网页木马,如果用户的计算机系统存在相应的漏洞,则会增加感染该病毒的风险,甚至是多次重复感染。另外,“洛克”变种hp会在被感染系统注册表启动项中添加键值,以此实现自动运行。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
以上信息由上海市信息化服务热线(热线电话:9682000)提供。