英文名称:Trojan/Antavmu.ccb
中文名称:“伪程序”变种ccb
病毒长度:36000字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:faa119313ffd5b2fb66016676433b47e
特征描述:
Trojan/Antavmu.ccb“伪程序”变种ccb是“伪程序”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“伪程序”变种ccb运行后,会在被感染系统执行命令“CommandLine = "cacls.exe C:WINDOWSsystem32cmd.exe /e /t /g everyone:F”,撤销任意用户对cmd.exe的完全访问权限。关闭下列服务:“sharedaccess”、“KPfwSvc”、“KWatchsvc ”、“McShield”、“Norton AntiVirus Server”。之后会将“C:Program Files360safesafemonsafemon.dll”重命名为“C:Program Files360safesafemonsafemes.dll”,把“C:Program FilesRisingAntiSpywareieprot.dll”重命名为“C:Program FilesRisingAntiSpywareiepret.dll”。遍历系统当前进程,如发现“shstat.exe”、“runiep.exe”、“ras.exe”、“MPG4C32.exe”、“imsins.exe”、“Iparmor.exe”、“360safe.exe”、“360tray.exe”、“kmailmon.exe”、“kavstart.exe”、“avp.exe”、“SonndMan.exe”、“Vmware.exe”、“exename”、“vpcma.exe”、“cmd.exe”、“cacls.exe”、“notepde.exe”便会尝试结束。还会在被感染系统的“%SystemRoot%”文件夹下释放恶意文件“BarClientServer.exe”,在“%SystemRoot%system32”文件夹下释放“inertno.exe”、“ttjj34.ini”。向Administrators组中添加名为“new1”的用户,密码为“12369”,从而为骇客留下后门。在被感染系统的后台连接骇客指定的站点“www.caif*678.cn:81/rc/xms/”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“伪程序”变种ccb在运行完成后会创建批处理文件“2.bat”并在后台调用执行,以此将自身删除。
英文名称:Backdoor/PcClient.ajlz
中文名称:“友好客户”变种ajlz
病毒长度:38288字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:62e4180a79650fb91421c4eb3c35b06f
特征描述:
Backdoor/PcClient.ajlz“友好客户”变种ajlz是“友好客户”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“友好客户”变种ajlz运行后,会自我复制到被感染系统的“%SystemRoot%system32”文件夹下,重新命名为“WinHelp32.exe”。文件属性设置为“系统、隐藏”。“友好客户”变种ajlz属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的站点“www.9*k.com”,获取客户端IP地址,侦听骇客指令,从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“友好客户”变种ajlz的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。该后门会占用大量的系统资源,极大地降低了被感染系统的性能,导致被感染系统出现频繁死机等现象。“友好客户”变种ajlz在运行完成后会将自我删除,从而达到消除痕迹的目的。另外,“友好客户”变种ajlz会在被感染计算机中注册名为“WinHelp32”的系统服务,以此实现自动运行。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请将江民杀毒软件升级至最新版本,并且进行全盘扫描。江民杀毒软件KV2011的扫描加速技术令查杀更快捷。虚拟机脱壳以及动静态启发扫描更可强力狙击各种已知、未知病毒。
2、江民网络版的用户请及时升级控制中心和所有客户端,并且进行全网病毒查杀。
3、开启江民杀毒软件的主动防御功能。江民杀毒软件KV2011采用先进的“智能主动防御2.0”系统,对病毒的拦截更精准,避免干扰正常软件的运行。
4、开启江民杀毒软件的网页防马墙功能。网页木马特征库动态更新,最新网马迅速拦截。同时结合恶意、钓鱼网址库,为您的网上冲浪建立起双重防护。
5、开启江民杀毒软件的“移动存储监视”功能(仅KV2011具备)。江民杀毒软件KV2011可阻止病毒通过移动存储设备进行传播,让数据存储更安全。
6、开启定时漏洞检测功能,定期修复系统关键漏洞和常用第三方软件漏洞,不给病毒以可乘之机。
7、开启江民黑客防火墙。江民杀毒软件KV2011内置全新的三层立体黑客防火墙,可对不同层面的网络攻击进行防御,保卫系统安全更全面。
8、对于在Windows下无法清除的顽固文件,可使用BootScan功能在系统登陆前进行病毒查杀。
9、江民杀毒软件拥有强大的自我保护功能,能够有效避免病毒的肆意破坏,全天候为您的信息安全护航。
10、江民杀毒软件最新版下载地址http //filedown.jiangmin.com/KV2011/inst.exe(30天免费试用,KV2010用户无需卸载可直接覆盖安装)。或者可以使用江民免费在线查毒系统进行病毒检测:http //online.jiangmin.com/
