病毒播报:谨防“刻毒虫”和“毒疤”病毒

江民今日提醒您注意:在今天的病毒中Worm/Kido.gq"刻毒虫"变种gq和Trojan/Scar.bmc"毒疤"变种bmc值得关注。

英文名称:Worm/Kido.gq
中文名称:"刻毒虫"变种gq
病毒长度:162516字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 2000/XP/2003/VISTA
MD5 校验:d0e0c049ed7056eac8bb396429795010

特征描述:
Worm/Kido.gq"刻毒虫"变种gq是"刻毒虫"家族中的最新成员之一,该蠕虫是由"kido"主程序释放出来的DLL功能组件,经过加壳保护处理。"刻毒虫"变种gq运行后,会移动自身到"%SystemRoot%system32"文件夹下,若不成功则进一步尝试移动到"C:Program FilesMovie Maker"、"%USERPROFILE%Application Data"、"%Temp%"等文件夹下,重新命名为"*.dll"(文件名为随机字符串,不过通常是"bqwzif.dll")。另外还会释放一个临时的恶意驱动程序。"刻毒虫"变种gq运行时,会将恶意程序插入"svchost.exe"或者"explorer.exe"进程中隐秘运行。关闭系统自动更新服务(wuauserv)、后台智能传输(BITS)服务以及"WinDefend"等服务,并利用自带的密码表对使用弱口令的网上邻居进行口令猜解。一旦猜解成功,便会通过MS08-067漏洞向该网上邻居发送一个特定的RPC请求,用于下载kido主程序并创建计划任务,从而激活该蠕虫文件。监视系统中打开的窗口,并关闭带有指定字符串(大部分为安全厂商名称)的窗口。同时还会阻止用户连接指定的站点(通常是安全软件或微软的网站),干扰用户通过网络寻求病毒的解决方案。利用特定算法生成大量的随机域名,同时下载其它的恶意程序,用户可能因此而遭受信息泄露、远程控制、垃圾邮件等侵害。"刻毒虫"变种gq还可通过移动存储设备进行传播,当其发现有新的移动存储设备接入时,便会在其根目录下创建文件夹"RECYCLERS-*-*-*-*-*-*-*"(*为随机字符串),并在其中生成自身副本"*.vmx"(文件名随机,不过通常是"jwgkvsq.vmx"),同时在根目录下创建"autorun.inf",设置上述文件及文件夹属性为"系统、只读、隐藏",以此实现利用系统自动播放功能进行传播的目的。"刻毒虫"变种gq会在被感染系统中新建一个随机名称的系统服务,并通过"svchost.exe"或"services.exe"实现开机自动运行。其还会修改文件和注册表的访问控制对象,致使用户无法删除自身产生的文件和注册表项。

英文名称:Trojan/Scar.bmc
中文名称:"毒疤"变种bmc
病毒长度:5367字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:a1e566e6d020f5e5a6583b52bcb1507c

特征描述:
Trojan/Scar.bmc"毒疤"变种bmc是"毒疤"家族中的最新成员之一,经过加壳保护处理。"毒疤"变种bmc运行后,会自我复制到被感染系统的"%SystemRoot%system32"文件夹下,重新命名为"msinet32d.dll"。"毒疤"变种bmc会修改注册表键值"AppInit_Dlls",使其可以随一些需要加载"user32.dll"的应用程序一起启动运行。当其随"QQ.exe"一齐运行时,"毒疤"变种bmc会连接服务器"http://59.57.*.143/",读取"1.txt"和"2.txt"的内容,并通过一些内存操作将读取的广告信息通过用户的"群"以及个性签名等方式传播出去,从而给不法分子谋取到了非法的经济利益。