江民今日提醒您注意:在今天的病毒中Trojan/Clicker.ue"鞋匠"变种ue和Backdoor/Bifrose.qcw"比福洛斯"变种qcw值得关注。
英文名称:Trojan/Clicker.ue
中文名称:"鞋匠"变种ue
病毒长度:57344字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:e2957e6c85a7477e172ef49253fc8b7b
特征描述:
Trojan/Clicker.ue"鞋匠"变种ue是"鞋匠"家族中的最新成员之一,采用"Microsoft Visual Basic 5.0 / 6.0"编写。"鞋匠"变种ue运行后,会自我复制到被感染计算机系统的"C:Windows"文件夹下,重新命名为"auutr.exe"。还会在"%SystemRoot%system32"文件夹下释放恶意程序"audtr.exe"并调用运行。"鞋匠"变种ue运行时,会下载配置文件"http://www.ah*tiankang.cn/sm4.txt"并保存为"setting.ini"。根据其中的设置,用户在访问特定的网站(例如"淘宝"、"当当"、"360buy"、"Google"等)时将会打开指定的广告页面,骇客则利用此种方式进行非法利益的牟取。"鞋匠"变种ue还能锁定用户的IE浏览器主页,并且会通过"http://www.ah*tiankang.cn/tongjism4/count.asp"进行被感染计算机的统计。另外,"鞋匠"变种ue会通过修改注册表的方式实现开机自动运行。
英文名称:Backdoor/Bifrose.qcw
中文名称:"比福洛斯"变种qcw
病毒长度:40317字节
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:089699cd95cce14fb763ca9368d9abf1
特征描述:
Backdoor/Bifrose.qcw"比福洛斯"变种qcw是"比福洛斯"家族中的最新成员之一,采用"Microsoft Visual C++ 6.0"编写。"比福洛斯"变种qcw运行后,会将加密的恶意代码注入到"explorer.exe"和新建的"iexplore.exe"进程中隐秘运行,同时会将"iexplore.exe"进程隐藏,避免被轻易地查杀。"比福洛斯"变种qcw运行时,会试图关闭某些特定的杀毒软件及防火墙进程。不断尝试与控制端(地址为:h00700.no*ip.org:81)进行连接,如果连接成功,则被感染的计算机便会成为傀儡主机,并进行下载其它恶意程序、建立代理服务、开启后门等等恶意操作,从而给用户的信息安全构成更加严重的威胁。"比福洛斯"变种qcw可能会将自身复制到"%USERPROFILE%Application Data"文件夹下,并会通过在注册表启动项中添加键值的方式实现开机自启动。