病毒播报:恶推客对指定IP发动DDos攻击

今日,江民反病毒中心截获了“恶推客”变种nli,其可根据服务器发送的指令,以FTP和HTTP的方式下载网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给被感染系统用户造成了更多的侵害。其还会对指定IP发动DDos攻击、向MSN联系人发送带毒压缩文件,从而造成了更大的破坏与威胁。在被感染系统中搜索有效的e-mail地址,利用自带的SMTP引擎群发带毒邮件,从而达到自我传播的目的。另外,“恶推客”变种nli会在被感染系统注册表启动项中添加键值,以此实现自动运行。

据江民反病毒专家介绍,“恶推客”变种nli是“恶推客”家族中的最新成员之一,采用“Microsoft Visual Studio .NET 2005 — 2008”编写。“恶推客”变种nli运行后,会自我复制到被感染系统盘的“RECYCLERR-1-5-21-1482476501-1644491937-682003330-1013”文件夹下,重新命名为“acleaner.exe”,还会在该文件夹下释放恶意配置文件“Desktop.ini”(文件属性设置为“系统、隐藏、只读”),从而将文件夹伪装成回收站样式。“恶推客”变种nli会利用IRC协议(互联网中继聊天)与服务器“dl.ka*ek.com”建立连接,并与服务器进行命令交互,以此实现远程控制的目的。