26日:
英文名称:Trojan/Buzus.hkf
中文名称:“霸族”变种hkf
病毒长度:97792字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:8f9e922e6fffcb1b9f58e72f25f684df
特征描述:
Trojan/Buzus.hkf“霸族”变种hkf是“霸族”家族中的最新成员之一,采用“Borland Delphi 6.0 – 7.0”编写。“霸族”变种hkf运行后,会自我复制到被感染系统的“%programfiles%Common Files”文件夹下,重新命名为“SafeDrv.exe”,文件属性设置为“隐藏”。其还会在“%USERPROFILE%”文件夹下释放经过加壳保护的恶意驱动程序“lmiwn.drv”并调用运行。在被感染计算机的系统盘根目录下创建“autorun.inf”,以此实现双击盘符后激活指定恶意程序的目的,从而给被感染计算机用户造成更多的威胁。另外,其会收集被感染计算机的相关信息,之后发送到骇客指定的页面“http://www.tj*vod.com/ax/Count.asp”,从而对用户的私密信息造成了不同程度的侵害。“霸族”变种hkf还会遍历当前系统中运行的所有进程,一旦发现某些安全软件的进程存在,便会尝试将其结束,致使被感染系统失去安全软件的保护。另外,“霸族”变种hkf会通过在被感染系统注册表启动项中添加键值,以此实现开机自动运行。
英文名称:TrojanDownloader.Geral.bnm
中文名称:“变异体”变种bnm
病毒长度:37263字节
病毒类型:木马下载器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:6f63626a536678cd1dc3d6343efdff6b
特征描述:
TrojanDownloader.Geral.bnm“变异体”变种bnm是“变异体”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“变异体”变种bnm运行后,会释放恶意DLL组件“CCtest.dll”至被感染系统的“%programfiles%RAV”文件夹下。另外,还会在相同文件夹和“%SystemRoot%system32drivers”文件夹下释放恶意驱动程序“CCtest.sys”。遍历当前系统中运行的所有进程,一旦发现某些指定的安全软件存在,“变异体”变种bnm便会尝试将其强行关闭,以此达到自我保护的目的。“变异体”变种bnm运行时,会在被感染系统的后台连接骇客指定的站点“121.11.*.168”,获取恶意程序下载列表,然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“变异体”变种bnm会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。
27日:
英文名称:Trojan/PSW.Bjlog.jj
中文名称:“绑架犯”变种jj
病毒长度:192512字节
病毒类型:盗号木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:5bc532b047e1a2f3602a92825dfe7234
特征描述:
Trojan/PSW.Bjlog.jj“绑架犯”变种jj是“绑架犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“绑架犯”变种jj运行后,会在被感染系统的“%USERPROFILE%Local SettingsTemp”文件夹下释放恶意文件“ouxexvxnoy.log”,然后会将“ouxexvxnoy.log”复制到“%ALLUSERSPROFILE%DRM”文件夹下,重新命名为“boywp.lnk”。“绑架犯”变种jj运行后,会将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与控制端(IP地址为219.132.*.27:77)进行连接,一旦连接成功,则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作(其中包括:文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等),会给用户的信息安全构成严重的威胁。另外,“绑架犯”变种jj会在被感染计算机中注册名为“ias”的系统服务,以此实现开机自动运行。
英文名称:Trojan/VB.zvl
中文名称:“视频宝宝”变种zvl
病毒长度:76340字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:509a9da3d09e8c8b69bb0fe5a29c3c91
特征描述:
Trojan/VB.zvl“视频宝宝”变种zvl是“视频宝宝”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“视频宝宝”变种zvl运行后,会在被感染系统的“%programfiles%WindowsUpdate”文件夹下释放图标文件“youhuo.ico”,恶意程序“TXP1atform.exe”和“svch0st.exe”。“视频宝宝”变种zvl运行时,会在后台调用执行“svch0st.exe”。“svch0st.exe”运行后,会与控制端(IP地址为:61.147.*.173:80)进行连接。如果连接成功,则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作(其中包括:文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等),会给用户的信息安全构成严重的威胁。另外,其会在开始菜单“启动”文件夹下添加名为“Windows服务管理器.lnk”的快捷方式(指向“svch0st.exe”),以此实现相关恶意程序的开机自启。
28日:
英文名称:TrojanDownloader.Adload.jhm
中文名称:“埃德罗”变种jhm
病毒长度:54272字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:80b3b4cd03ceddbf9dfcae2051bb6e1d
特征描述:
TrojanDownloader.Adload.jhm“埃德罗”变种jhm是“埃德罗”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“埃德罗”变种jhm运行后,会在被感染系统的“%SystemRoot%system32”和“%SystemRoot%system32dllcache”文件夹下分别释放恶意DLL组件“jgqk0.dll”,还会在“%SystemRoot%system32”文件夹下释放恶意DLL组件“gggg7.dll”和“jgqkm.dll”。遍历当前系统中运行的所有进程,一旦发现指定进程“ravmond.exe”和“360tray.exe”存在,便会尝试将其结束。“埃德罗”变种jhm运行时,会在后台连接骇客指定的远程站点“221.194.*.33:80”,获取恶意程序下载列表,然后下载文件中指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。
英文名称:Trojan/PSW.Eruwbi.eh
中文名称:“吸金者”变种eh
病毒长度:72192字节
病毒类型:盗号木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:d16e0545fc8da4d14045ade50bc24cba
特征描述:
Trojan/PSW.Eruwbi.eh“吸金者”变种eh是“吸金者”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“吸金者”变种eh运行后,会在被感染系统的“%SystemRoot%system32”文件夹下释放图标文件“www_qvod8_com.ico”和“www_gxgx_com.ico”(文件属性设置为“系统、隐藏、只读”),还会删除快捷启动文件夹下的IE快捷方式,并且在“%USERPROFILE%「开始」菜单程序”文件夹下和桌面上创建假冒的IE快捷方式和多个Internet快捷方式。当用户通过这些快捷方式启动IE浏览器后,会自动访问骇客指定的站点“http://www.2*8.cn/?tn=meiyingie.com”,从而增加了这些网站的访问量,给骇客带来了非法的经济利益。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请将江民杀毒软件升级至最新版本,并且进行全盘扫描。江民杀毒软件增强了虚拟机脱壳与启发式扫描技术,能够更加轻松地识别各种加壳、家族变种病毒,使病毒无所遁形。同时应用指纹加速、超线程扫描等高速扫描技术,更好更快地保护您的信息安全。
2、江民网络版的用户请及时升级控制中心和所有客户端,并且进行全网的病毒查杀,最大程度地保障企业的信息安全。
3、开启江民杀毒软件的主动防御功能。该功能采用智能沙盒技术,不仅可以更加准确地判别程序行为,还可迅速恢复病毒对系统造成的破坏与修改,令您轻松摆脱病毒的困扰。
4、江民杀毒软件拥有强大的自我保护功能,能够有效避免病毒的肆意破坏和干扰运行,为自身和系统同时加上了“金钟罩”般的强力保护。
5、开启江民杀毒软件的网页数据流监控功能。该功能可以更好地防御各种形式的网页病毒,为您的网上冲浪撑起保护伞。
6、开启江民杀毒软件的BootScan功能,在系统登陆前进行病毒查杀,清除顽固病毒更加方便、彻底。
7、建议使用安全专家内置的RootKit扫描功能。该功能可以对恶意程序深度隐藏的项目进行检测和清除,使恶意程序无处藏身。
8、建议使用安全专家内置的漏洞扫描功能。该功能扫描系统漏洞更加全面、准确,修复速度更加快捷。同时新增常见第三方软件漏洞扫描功能,使防护更全面,保护更彻底,不给病毒利用漏洞进行传播的机会。