1月10日病毒播报:木马利用映像劫持技术
    在今天的病毒中,需要谨慎防范“毒蝙蝠”变种vd和“友好客户”变种aihb。

英文名称:Trojan/BAT.vd

中文名称:“毒蝙蝠”变种vd

病毒长度:70144字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:44b11ab301ce03a34c0b3c241d9e4790

特征描述:

Trojan/BAT.vd“毒蝙蝠”变种vd是“毒蝙蝠”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“毒蝙蝠”变种vd运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意批处理程序“win32.bat”和图标文件“bd.ico”、“gg.ico”,还会在“D:\soft\bat\v13\”目录下释放恶意程序“winnt32.exe”,之后会执行批处理程序“win32.bat”。其会利用映像劫持技术(IFEO)来屏蔽“360sd.exe”、“360Safe.exe”、“QQdoctorRtp.exe”等安全软件,并且通过执行命令行“taskkill /f /im 360sd.exe”、“taskkill /f /im 360tray.exe”、“taskkill /f /im QQdoctorRtp.exe ”和“wmic process where name="QQdoctorRtp.exe" delete”的方式结束指定的安全软件。在被感染系统的后台秘密监视用户的键盘和鼠标操作,窃取用户输入的机密信息,并在后台将窃得的信息发送到骇客指定的远程站点“125.64.*.110”,从而给被感染系统用户造成不同程度的损失。强行向“hosts”中添加“search.114.vnet.cn”、“114.vnet.cn”、“www.114.com.cn”、“www.vnet.cn”、“www.2345.com”、“www.9991.com”、“www.930930.com”、“www.qq5.com”、“www.baidu.com”、“www.hao123.cn”、“hao123.cn”、“www.cctv.net”、“g.cn”、“www.g.cn”、“b.cn”,从而阻止用户对上述站点进行访问。将“D:\soft\bat\v13\winnt32.exe”复制到“%SystemRoot%\repair\”下,并且重新命名为“svchost.exe”,之后会将其复制到“%SystemRoot%\system32\1025\”、“%SystemRoot%\Config\shell\”和“%SystemRoot%\SYSTEM\”文件夹下,分别重新命名为“notepad.exe”、“lsass.exe”和“360shell.exe”。“毒蝙蝠”变种vd还会在IE收藏夹以及桌面上创建快捷方式“Google搜索.url”、“Baidu搜索.url”、“网站导航.url”,从而诱骗用户对指定站点进行访问,以此给骇客带来非法的经济利益。另外,“毒蝙蝠”变种vd会在被感染系统注册表启动项中添加键值以及创建任务计划,以此实现开机自启。

英文名称:Backdoor/PcClient.aihb

中文名称:“友好客户”变种aihb

病毒长度:62976字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:9e6638f8c7d073e4758ce23a36e550d1

特征描述:

Backdoor/PcClient.aihb“友好客户”变种aihb是“友好客户”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“友好客户”变种aihb运行后,会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“UR32.LOG”,还会在“%programfiles%\NVIDIA\”文件夹下释放恶意DLL组件“UVntEx.OLE”。“友好客户”变种aihb运行时,会将“UVntEx.OLE”插入到被感染系统的“explorer.exe”和“winlogon.exe”进程中隐秘运行,从而防止被轻易地查杀。秘密连接骇客指定的远程站点“wq5*520.3322.org”,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过“友好客户”变种aihb完全远程控制被感染的计算机系统,从而给被感染系统用户的个人隐私甚至是商业机密造成不同程度的损失。

 
在线客服
Comm100技术提供