在今天的病毒中TrojanDropper.Agent.afww"代理木马"变种afww和Backdoor/Katien.e"歪卡"变种e值得关注。
英文名称:TrojanDropper.Agent.afww
中文名称:"代理木马"变种afww
病毒长度:26030字节
病毒类型:木马释放器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:fa628cf886fd11b503612fe2745f6128
特征描述:
TrojanDropper.Agent.afww"代理木马"变种afww是"代理木马"家族中的最新成员之一,经过加壳保护处理。"代理木马"变种afww运行后,会自我复制到被感染系统的"%SystemRoot%system32"目录下,重新命名为"scvhost.exe"。在该目录下释放恶意DLL组件"test.tt",在"%SystemRoot%"目录下释放恶意程序"*.exe"(*为随机数),在"%SystemRoot%system32drivers"目录下释放恶意驱动程序"pcidump.sys",另外还会复制系统文件"wininet.dll"到临时文件夹下以供调用。"代理木马"变种afww可以穿透一些系统还原程序的保护,并用恶意文件覆盖"explorer.exe"。其会用正常的"explorer.exe"替换"%SystemRoot%system32driversgm.dls",之后将其复制到"%SystemRoot%TEMPexplorer.exe",通过对该文件进行调用,使得用户开机时能够正常显示桌面,以此蒙蔽了用户。其会监视并关闭可能弹出的"Windows文件保护"窗口,从而使其在替换系统文件时不被用户所发现。"危鬼"变种dz运行时,会关闭并禁用系统防火墙、Windows安全中心服务。关闭安全软件的自我保护功能,终止大量的安全软件、系统工具、应用程序的进程,同时还会通过关闭相关的服务、删除关键文件、利用注册表映像劫持等方式,干扰这些安全软件的正常运行,致使用户的计算机失去保护。利用域名映像劫持屏蔽大量的安全类站点,使得用户无法通过网络获取病毒查杀信息。在被感染系统的后台连接经过多次解密后得到的URL"http://fack.dns075*.net/88.txt",读取该文件中存放的下载地址,然后下载恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马、广告程序等,致使用户面临更多的威胁。另外,其还会向骇客指定的页面"http://zhongt*.com/tj/v7/count.asp"反馈被感染计算机的基本信息。"代理木马"变种afww会在被感染系统注册表启动项中添加键值"360safe",以此实现木马"scvhost.exe"的开机自启。
英文名称:Backdoor/Katien.e
中文名称:"歪卡"变种e
病毒长度:49152字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:1118ef48df5b1337c2ee1749f08f2e9c
特征描述:
Backdoor/Katien.e"歪卡"变种e是"歪卡"家族中的最新成员之一,采用"Microsoft Visual C++ 7.0"编写。"歪卡"变种e可利用IRC协议(互联网中继聊天)与服务器(error.isa*geek.net:6667等)进行命令交互,其会从自带的十八个域名中随机选取进行连接,直到连接成功,以此达到了远程控制的目的。"歪卡"变种e可根据服务器传送的指令,执行下载恶意程序、对指定IP地址及端口发动DDos攻击、自动更新客户端、系统服务管理等操作,从而给用户造成不同程度的安全威胁。另外,"歪卡"变种e会在被感染系统注册表启动项中添加键值"Service",以此实现后门的开机自动运行。