江民今日提醒您注意:在今天的病毒中Trojan/Swisyn.pb"广告徒"变种pb和TrojanDownloader.PrivacyCenter.a"小骗子"变种a值得关注。
英文名称:Trojan/Swisyn.pb
中文名称:"广告徒"变种pb
病毒长度:344064字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:86ba5e7e4129b32ba7e9059d88325bcf
特征描述:
Trojan/Swisyn.pb"广告徒"变种pb是"广告徒"家族中的最新成员之一,采用"Microsoft Visual C++ 6.0"编写。"广告徒"变种pb运行后,会在被感染系统的"%SystemRoot%system32"文件夹下释放恶意DLL文件"ToolBar.dll",在"%SystemRoot%config"文件夹下释放恶意程序"smss.exe",在"%SystemRoot%debug"文件夹下释放恶意程序"lsass.exe"。"广告徒"变种pb运行时,可以进行访问量统计、增加指定网页浏览量、篡改主页等恶意行为,另外还会读取
"http://stat.*ectime.com/autoUpdate.xml"和"http://work.wodese*.com/webservice/adTagXml/xml.aspx",并根据其中的设置访问特定网页以及定时弹出广告、下载恶意程序等。"广告徒"变种pb会将释放的DLL文件注册为"BHO"(浏览器辅助对象),以此实现随IE浏览器而启动运行。另外,其会通过在注册表启动项中添加键值"lasst"和"smss"的方式来实现木马的开机自启。
英文名称:TrojanDownloader.PrivacyCenter.a
中文名称:"小骗子"变种a
病毒长度:32768字节
病毒类型:木马下载器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:828d46a6d091a9ccdeea8bc5ec9c55ce
特征描述:
TrojanDownloader.PrivacyCenter.a"小骗子"变种a是"小骗子"家族中的最新成员之一,采用"Borland Delphi 6.0 – 7.0"编写,经过加壳保护处理。"小骗子"变种a运行后,会在被感染系统的临时文件夹下释放辅助程序"tim.exe",并生成批处理文件"tump.bat"。利用该批处理文件,"小骗子"变种a会连接指定站点"http://vezqbrphogdmlytslht*.cn/"下载并安装名为"Safety Center"的假冒防病毒软件。该软件运行后,会谎称用户的计算机中存在多种恶意程序,同时诱骗用户购买授权,从而以这种方式进行诈骗。除此之外,"小骗子"变种a还会连接指定的URL"http://95.211.*.154/install.php id=02919"进行安装统计。另外,其还会连接挂马页面http://urodin*m.net/8732489273.php。
