3月10日病毒播报:“灰鸽子”变种abzh
中国IDC评述网03月10日报道:在今天的病毒里,需要谨慎防范“灰鸽子”变种abzh和“植木马器”变种vy。
英文名称:Backdoor/Huigezi.abzh
中文名称:“灰鸽子”变种abzh
病毒长度:417374字节
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:4d7737010758711e7ff9a37677ef3476
特征描述:
Backdoor/Huigezi.abzh“灰鸽子”变种abzh是“灰鸽子”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“灰鸽子”变种abzh运行后,会自我复制到被感染系统的“%SystemRoot%”和“%programfiles%”文件夹下,重新命名为“WindowsUpdate.exe”(文件属性设置为“系统、隐藏”)。“灰鸽子”变种abzh运行后,会检测被感染系统“%SystemRoot%system32drivers”文件夹下是否存在名为“klif.sys”的驱动文件。运行iexplore.exe进程,通过API函数“ZwUnmapViewOfSection”获取IE进程的基址,之后申请内存空间,并将恶意代码注入到其中隐秘运行。秘密连接骇客指定的站点“su*hen.3322.org”,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过“灰鸽子”变种abzh完全远程控制被感染的计算机系统,从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。“灰鸽子”变种abzh的原病毒程序在运行完成后会将自我删除,以此消除痕迹。另外,其会通过新建名为“WindowsUpdate”的服务的方式实现开机自启。
英文名称:Backdoor/Inject.vy
中文名称:“植木马器”变种vy
病毒长度:94131字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:a02779da9b884e5879f9122cca57ab3f
特征描述:
Backdoor/Inject.vy“植木马器”变种vy是“植木马器”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“植木马器”变种vy运行后,会自我复制到被感染系统的“%SystemRoot%system32”文件夹下,重新命名为“ggfps.exe”。该后门会将恶意代码插入到“explorer.exe”等几乎所有的进程中隐秘运行,以此隐藏自我,防止被轻易地查杀。“植木马器”变种vy运行时,会在被感染系统的后台秘密监视用户的键盘输入,窃取用户输入的账号及密码等机密信息,并在后台将窃得的信息发送到骇客指定的远程站点或邮箱里(地址加密存放),给被感染计算机用户造成了不同程度的损失。后台连接骇客指定的远程站点“hxxp://chid*le.com/twchi/”,下载恶意程序“chidoule.gif”、“chidoule.jpg”、“chidoule.bmp”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“植木马器”变种vy会在被感染系统注册表启动项中修改登陆初始化内容(userinit),以此实现开机自启。
资料来源:江民科技