English
 电子信箱
 加入收藏

  威盾防火墙 >> 新闻中心 >> 业界动态 >> 6.13毒报:U盘寄生虫和Hosts劫持者
 

6.13毒报:U盘寄生虫和Hosts劫持者

威盾防火墙 2009-06-13
 
今日提醒您注意:在今天的病毒中Worm/AutoRun.hpd“U盘寄生虫”变种hpd和Trojan/Qhost.if“Hosts劫持者”变种if值得关注。

  英文名称:Worm/AutoRun.hpd

  中文名称:“U盘寄生虫”变种hpd

  病毒长度:62464字节

  病毒类型:蠕虫

  危险级别:★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:3da6a908566bdf5495d1000259e6d76c

  特征描述:

  Worm/AutoRun.hpd“U盘寄生虫”变种hpd是“U盘寄生虫”蠕虫家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过多次加壳保护处理。“U盘寄生虫”变种hpd运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“bcveat.exe”。复制自身到“开始”菜单“启动”文件夹下,重新命名为“WinPXct.exe”。“U盘寄生虫”变种hpd运行时,会监视所有正在运行程序的窗口标题。一旦发现标题中存在指定的字符串(如“Sniffer”、“Debug”、“Virus”)的窗口,便会试图将其关闭。遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在便会尝试结束这些进程。篡改系统时间,致使某些安全软件的授权过期。利用文件映像劫持功能,干扰大量安全软件、系统工具的正常运行,并且还会通过篡改注册表相关键值的方式导致用户系统中“显示系统隐藏文件”功能失效,从而达到了自我保护的目的。在被感染系统的后台连接骇客指定的远程服务器站点“http://www.dj520131*dj.com/”,获取恶意程序下载列表“bzkpixd.xml”,并根据该文件中指定的恶意程序地址进行下载并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。

  英文名称:Trojan/Qhost.if

  中文名称:“Hosts劫持者”变种if

  病毒长度:11264字节

  病毒类型:木马

  危险级别:★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:49f3504dd8518484fde8b16215134616

  特征描述:

  Trojan/Qhost.if“Hosts劫持者”变种if是“Hosts劫持者”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“Hosts劫持者”变种if可能被其它恶意程序复制为“%SystemRoot%\system32\userinit.exe”,以覆盖同名系统文件。如果“Hosts劫持者”变种if发现自己名为“userinit.exe”,则会启动桌面程序,以使用户正常登陆系统,同时也实现了开机自动运行的目的。“Hosts劫持者”变种if是一个木马下载工具,运行时会在被感染系统的后台连接经过多次解密后得到的骇客指定远程服务器地址“http://a1.5*8js.com/90330/”,下载大量的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“Hosts劫持者”变种if还会通过在被感染系统注册表启动项中添加键值“RsTray”的方式来实现开机自动运行。
相关内容: 最新内容:
无进程DLL木马开发思路与实现[2009-06-12]
网站挂马手段分析点评[2009-06-12]
常用集中网站挂马和防范方法[2009-06-12]
木马免杀技术大盘点[2009-06-12]
谨防木马病毒“毒贝壳”变种 篡改注册表[2009-06-12]
谨防木马病毒利用“盗号贼”盗取账号[2009-06-12]