今天,江民反病毒中心截获了“伪程序”变种chl,“伪程序”变种chl运行完毕后,会创建批处理文件并在后台调用执行,以此达到消除痕迹的目的。另外,其会修改系统服务“helpsvc”,以此实现自动运行。
据江民反病毒专家介绍,“伪程序”变种chl是“伪程序”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“伪程序”变种chl运行后,会执行命令“cacls.exe %SystemRoot%system32cmd.exe /e /t /g everyone:F”来赋予所有用户对cmd.exe的控制权限。将“%programfiles%360safesafemonsafemon.dll”重命名为“safemes.dll”,将“%programfiles%RisingAntiSpywareieprot.dll”重命名为“iepret.dll”。删除“%SystemRoot%system32”文件夹下的旧版本病毒文件“ttjj33.ini”、“SoundMan.exe”、“zozzo.exe”、“vpcma.exe”、“soliee.exe”、“inertno.exe”、“xox.exe”、“zozo.exe”、“sosos.exe”、“solin.exe”、“inertne.exe”、“notepde.exe”,还会强行关闭服务“wscsvc”、“sharedaccess”、“KPfwSvc”、“KWatchsvc”、“McShield”、“Norton AntiVirus Server”。创建进程快照,如果发现名为“shstat.exe”、“runiep.exe”、“ras.exe”、“MPG4C32.exe”、“imsins.exe”、“Iparmor.exe”、“360safe.exe”、“360tray.exe”、“kmailmon.exe”、“kavstart.exe”、“avp.exe”、“SonndMan.exe”、“Vmware.exe”、“exename”、“vpcma.exe”、“cmd.exe”、“cacls.exe”、“notepde.exe”的进程,“伪程序”变种chl则会试图强行结束该进程。其会在被感染系统的“%SystemRoot%”文件夹下释放恶意程序“BarClientServer.exe”,在“%SystemRoot%system32”文件夹下释放“inertno.exe”。在“%SystemRoot%system32”文件夹下释放配置文件“ttjj34.ini”。在被感染系统中新建名为“new1”、密码为“12369”的用户,为骇客留下后门,致使被感染系统可被不法分子远程登录、控制,进而沦为攻击跳板或肉鸡。
江民反病毒中心建议广大电脑用户,谨防此类病毒。并针对该病毒,江民已于第一时间更新病毒库,请广大用户及时升级查杀。
江民杀毒软件最新版下载地址http://filedown.jiangmin.com/KV2011/inst.exe(30天免费试用,KV2010用户无需卸载可直接覆盖安装)。或者可以使用江民免费在线查毒系统进行病毒检测:http://online.jiangmin.com/