栏目导航: 首页 > 漏洞预警 > 病毒预警 > 内容

病毒播报:灰鸽子和传奇窃贼变种

www.hx99.net    时间: 2010-04-17    阅读: 次     整理: 华西安全网

江民今日提醒您注意:在今天的病毒中TrojanSpy.Zbot.cvb“砸波”变种cvb和TrojanDownloader.Geral.bfo“变异体”变种bfo值得关注。
  英文名称:TrojanSpy.Zbot.cvb
  中文名称:“砸波”变种cvb
  病毒长度:50688字节
  病毒类型:间谍木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003/VISTA
  MD5 校验:e97e8261774614aed05f51966071c5a8
  特征描述:
  TrojanSpy.Zbot.cvb“砸波”变种cvb是“砸波”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“砸波”变种cvb运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“ntos.exe”(文件属性设置为“系统、隐藏、只读、存档”),以此替换系统文件“ntos.exe”,从而实现开机自启。遍历当前系统中所有的进程,一旦发现某些安全软件正在运行,便会尝试将其结束,致使被感染系统失去安全软件的保护。“砸波”变种cvb运行时,会将恶意代码注入到新创建的“winlogon.exe”进程中隐秘运行。在被感染系统后台连接黑客指定的URL“https://域名省略/cgi-bin/ias/*/GotoWelcome”,获取恶意程序下载列表,然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“砸波”变种cvb会通过修改被感染系统注册表启动项的方式实现开机自启。

  英文名称:TrojanDownloader.Geral.bfo
  中文名称:“变异体”变种bfo
  病毒长度:13824字节
  病毒类型:木马下载器
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003/VISTA
  MD5 校验:bae232357872f00ebc3ffa07a79ab7ef
  特征描述:
  TrojanDownloader.Geral.bfo“变异体”变种bfo是“变异体”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“变异体”变种bfo运行后,会将被感染系统“%SystemRoot%\system32\”文件夹下的“wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“opeB2.tmp”。另外,还会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意驱动程序“prJvV.DRV”。“变异体”变种bfo运行时,会在被感染系统的后台连接黑客指定的站点“http://10.y*10.cn/mm/”,下载恶意程序“e4353609t.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“变异体”变种bfo会通过在被感染系统注册表启动项中添加键值的方式实现开机自动运行。

 

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭