江民今日提醒您注意:在今天的病毒中TrojanSpy.Filka.p"菲卡"变种p和Trojan/RegCode.e"危鬼"变种e值得关注。
英文名称:TrojanSpy.Filka.p
中文名称:"菲卡"变种p
病毒长度:206336字节
病毒类型:间谍木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:ca430b39ce6fd3840dff461cfac0a9d7
特征描述:
TrojanSpy.Filka.p"菲卡"变种p是"菲卡"家族中的最新成员之一,采用"Microsoft Visual C++ 6.0"编写,经过加壳保护处理。"菲卡"变种p运行后,会在被感染系统的"%SystemRoot%system32"文件夹下释放恶意DLL文件"try*.dll"和"kkkyfile.dll"。遍历当前系统中所有正在运行的进程,如果发现某些与安全或系统诊断相关的进程存在,就会自动退出,从而避免被检测到。其还会利用映像文件劫持功能干扰安全软件的正常运行,降低了被感染系统的安全性。"菲卡"变种p运行时,会在"%SystemRoot%system32"文件夹下生成配置文件"web.ini",并根据其中的设置在被感染系统中以自动定时弹出或者点击链接时弹出等方式,打开程序指定的广告网页或广告条等(这些恶意广告网页中可能包含网页木马,会给存在漏洞的计算机系统造成不同程度的安全隐患)。同时,其还会将IE首页锁定为一个指定的导航页面"http://www.hao1258*.com/XueHu"。通过提高这些恶意网站的访问量(网络排名),骇客谋取到了非法的利益。"菲卡"变种p还具有自动更新功能,其会连接骇客指定的远程服务器"http://www.f*edit.cn/"下载更新文件,以此实现更换需要推广的网址和躲避查杀等。另外,"菲卡"变种p释放的DLL文件会将自身注册为BHO(浏览器辅助对象),以此实现其随IE浏览器的启动而加载运行。
英文名称:Trojan/Vilsel.bbv
中文名称:"危鬼"变种bbv
病毒长度:12767字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:00cd42157d140dd68e9aa1b0bd074eda
特征描述:
Trojan/Vilsel.bbv"危鬼"变种bbv是"危鬼"家族中的最新成员之一,经过加壳保护处理。"危鬼"变种bbv运行后,会自我复制到被感染系统的"%SystemRoot%system32"文件夹下,重新命名为"kb*.dll"。同时会生成文件"wsconfig.db"保存该DLL文件名。在"%SystemRoot%system32drivers"文件夹下释放记录收信地址的配置文件"kipikwcd.dat",另外还会篡改系统文件"imm32.dll",从而通过对被感染的"imm32.dll"的调用实现自动运行。安装完成后,原病毒会将自我删除,以此消除痕迹。"危鬼"变种bbv是一个专门盗取"问道"和"完美国际"等网络游戏会员账号的木马程序,其会插入游戏进程"asktao.mod"和"elementclient.exe"中,并通过一些内存操作截获游戏账号、游戏密码、所在区服、角色等级等信息,并在后台将窃得的信息发送到骇客指定的收信页面"http://202.yx2009123*.cn:55414/202/xj283x@c!d$h/!$f7i@.asp"等上,甚至还会通过屏幕截图的方式获取用户输入的密码等信息,致使网络游戏玩家的虚拟财产遭到不同程度的侵害。