近期一个名为"无极杀手"变种b(Win32/Piloyd.b)的病毒正在互联网上疯狂传播,请您及时升级江民杀毒软件至最新版本,即可有效防范该病毒。
江民今日提醒您注意:在今天的病毒中Worm/Abuse.f"歪风"变种f和Trojan/Pincav.pb"恶推客"变种pb值得关注。
英文名称:Worm/Abuse.f
中文名称:"歪风"变种f
病毒长度:51034字节
病毒类型:蠕虫
危险级别:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:5d7b9192e073eac6903d06eb690935c6
特征描述:
Worm/Abuse.f"歪风"变种f是"歪风"家族中的最新成员之一,经过加壳保护处理。"歪风"变种f运行后,会自我复制到被感染系统的"%ProgramFiles%Common Files"目录下,重新命名为"SysLive.exe",文件属性设置为"系统、隐藏"。在"%SystemRoot%fonts"目录下释放恶意DLL组件"*.DLL"(*为随机5个字母,下同),在"%SystemRoot%fonts"和"%USERPROFILE%Local Settings"目录下分别释放恶意驱动程序"*.fon"和"Temp~*.tmp"。"歪风"变种f会在被感染系统重新启动时,用自身替换"%SystemRoot%system32dllcache"和"%SystemRoot%"目录下的系统文件"explorer.exe",以此实现开机自启。上述过程完成后,其会将自我删除,以此消除痕迹。创建新的"svchost.exe"和"iexplorer.exe"进程,将恶意代码注入其中隐秘运行,提高了自身的隐蔽性。利用释放的恶意驱动程序关闭指定安全软件的自我保护功能,同时终止其进程,并通过强行篡改注册表的方式干扰这些软件的正常启动。其还会篡改hosts文件,从而阻止被感染系统用户对某些安全站点进行访问,防止用户通过网络获得病毒的查杀信息。连接骇客指定的站点"http://3w.my2010*1.cn/",获取恶意程序下载列表"3w.txt",然后下载文件中指定的恶意程序并自动调用运行,从而给用户造成更多的威胁。其还会访问指定的页面"http://tj.97aiww*.cn/mi/Count.asp"以反馈用户的感染信息。"歪风"变种f会在被感染计算机的系统盘根目录下创建"autorun.inf"和蠕虫主程序文件副本,文件属性设置为"系统、隐藏",以此实现双击盘符后激活蠕虫的目的,从而给用户造成更多的威胁。另外,"歪风"变种f会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。
英文名称:Trojan/Pincav.pb
中文名称:"恶推客"变种pb
病毒长度:57904字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:7fd3b6438f7ac6aba31d3f54d3e0760a
特征描述:
Trojan/Pincav.pb"恶推客"变种pb是"恶推客"家族中的最新成员之一,经过加壳保护处理。"恶推客"变种pb运行后,会在被感染系统的临时文件夹下释放经过加壳保护的恶意程序"wscript.exe",文件属性设置为"隐藏"。修改系统时间,致使某些安全软件因授权过期而无法正常使用,以此提高了自身的生存几率。下载骇客指定的恶意程序"http://www.tw78*.com/ya.exe",从而给用户造成更大威胁。执行完上述操作后,病毒原程序会将自我删除,以此消除痕迹。
