| |
6.15毒报:杀人魔和卡拉蜜木马病毒 |
|
威盾防火墙 2009-06-15 |
| |
今日提醒您注意:在今天的病毒中Trojan/Kilva.bn“杀人魔”变种bn和Packed.Krap.lul“卡拉蜜”变种lul值得关注。
英文名称:Trojan/Kilva.bn
中文名称:“杀人魔”变种bn
病毒长度:18192字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:c13b3a4737e3fa0fbb9b434f2c73deb4
特征描述:
Trojan/Kilva.bn“杀人魔”变种bn是“杀人魔”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“杀人魔”变种bn运行后,如果发现自身位于被感染系统的“%SystemRoot%\fonts”目录下,则会在该目录下释放加壳的恶意DLL文件“system32.dll”(文件属性设置为“系统、隐藏”);如果发现自身名为“userinit.EXE”,则会调用“system32.dll”执行恶意操作,同时还会运行explorer.exe以使用户正常登陆系统,否则便会自我复制到“%SystemRoot%\fonts”目录下,重新命名为“system32.exe”(文件属性设置为“系统、隐藏”)。“杀人魔”变种bn运行时,会在被感染系统的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在便会尝试将其结束。篡改系统时间,致使某些安全软件的授权过期从而无法正常启动监控。查找指定的主动防御拦截窗口,并利用鼠标点击模拟的方式绕过主动防御的监控,从而达到了自我保护的目的。“杀人魔”变种bn如果确认系统当前日期在某个指定的日期之前,则会在被感染系统的后台连接骇客指定的远程站点“http://y*geiwofc.cn/”,下载指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。同时还会连接骇客指定的页面“http://y*geiwofc.cn/34/tj/htj.asp”以进行感染情况的统计。
英文名称:Packed.Krap.lul
中文名称:“卡拉蜜”变种lul
病毒长度:38481字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:dc47eb6ee0ea4425f7399a138548ae07
特征描述:
Packed.Krap.lul“卡拉蜜”变种lul是“卡拉蜜”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“卡拉蜜”变种lul运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”目录下,重新命名为“ijwat.exe”(文件属性设置为“系统、隐藏”)。在被感染系统的后台连接骇客指定的远程服务器站点“http://avzhan.33*.org:81/”,获取恶意程序下载列表“d.txt”和恶意程序“1.exe”并分别保存为“c:\gl.txt”和“c:\mn.exe”,然后下载列表中所指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的风险。“卡拉蜜”变种lul会在被感染系统中注册名为“ijwat”的系统服务,以此实现木马的开机自启。另外,“卡拉蜜”变种lul的原程序在执行完上述恶意行为后会将自我删除,以此消除痕迹。
|
|
| 相关内容: |
最新内容: |
无进程DLL木马开发思路与实现[2009-06-12]
木马免杀技术大盘点[2009-06-12]
谨防木马病毒“毒贝壳”变种 篡改注册表[2009-06-12]
谨防木马病毒利用“盗号贼”盗取账号[2009-06-12]
防范三绝技-谈木马“查、堵、杀”[2009-06-11]
木马预警:天涯博客义乌交友中心被挂马[2009-06-11]
|
MSN中毒群发垃圾链接 应赶紧修改密码[2009-06-13]
天涯就博客挂马作出声明 称仅仅是个案[2009-06-13]
6.13毒报:U盘寄生虫和Hosts劫持者[2009-06-13]
无进程DLL木马开发思路与实现[2009-06-12]
网站挂马手段分析点评[2009-06-12]
常用集中网站挂马和防范方法[2009-06-12]
|
