1月13日的病毒播报:恶意程序组团攻击
    在今天的病毒里,需要谨慎防范“通犯”变种buix和“毒疤”变种fvq。

英文名称:Trojan/Generic.buix

中文名称:“通犯”变种buix

病毒长度:84854字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:20c72da5728ed6582e76bd44b84c9468

特征描述:

Trojan/Generic.buix“通犯”变种buix是“通犯”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“通犯”变种buix运行后,会在被感染系统的“%SystemRoot%\system32\yfuuogpjdf”和“%SystemRoot%\system32\gknrypdxed”文件夹下分别释放恶意程序“explorer.exe”、“smss.exe”并调用运行,还会在“c:\”下释放文件lkxlsmmpsc.txt、nbmwshlvjw.jpg、asfipcetpc.bmp、umuhpagbmg.gif、dsiyhtuvub.doc、BOSC.dll和hwqnqjwiiu.exe。在当前用户的桌面上创建假冒的IE浏览器快捷方式,通过其启动的IE浏览器会自动访问骇客指定的站点“hxxp://www.sf*07.com/”,以此为其增加访问量。后台遍历当前系统中运行的所有进程,如果发现“avp.exe”、“cmd.exe”、“netsh.exe”、“conime.exe”、“regedit.exe”、“wscript.exe”、“regsvr32.exe”、“rundll32.exe”、“wmiprvse.exe”、“ipconfig.exe”等进程存在,“通犯”变种buix便会尝试将其强行关闭,从而达到自我保护的目的。在注册表中创建服务项“HKEY_LOCAL_MACHINE\system\CurrentControl\Services\DMusic”,以此实现“%SystemRoot%\system32\drivers\kpscc.sys”的开机自启。“通犯”变种buix属于某恶意程序中的功能组件,如果发现该病毒,说明系统中还存在其它恶意程序。

英文名称:Trojan/Scar.fvq

中文名称:“毒疤”变种fvq

病毒长度:121019字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:c619988f5379d9cd7d560230ecd7c19d

特征描述:

Trojan/Scar.fvq“毒疤”变种fvq是“毒疤”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“毒疤”变种fvq运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“eeyiey.exe”。“毒疤”变种fvq属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的远程站点,侦听骇客指令,从而达到被骇客远程控制的目的。该木马具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除用户计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“毒疤”变种fvq的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外,“毒疤”变种fvq会在被感染计算机中注册名为“zyVuLAiC”的系统服务,以此实现开机自启。

 
在线客服
Comm100技术提供