江民11.1病毒播报:卡拉蜜和BHO劫持者变种
2008-11-01 20:29:07 来源:WEB开发网江民今日提醒您注意:在今天的病毒中Packed.Krap.aa“卡拉蜜”变种aa和TrojanDownloader.BHO.bs“BHO劫持者”变种bs值得关注。
英文名称:Packed.Krap.aa
中文名称:“卡拉蜜”变种aa
病毒长度:142577字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Packed.Krap.aa“卡拉蜜”变种aa是“卡拉蜜”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“卡拉蜜”变种aa运行后,自我复制到被感染计算机系统的“%SystemRoot%\Help\”目录下,并重新命名为“B41346EFA848.exe”,文件属性设置为系统、隐藏、存档。修改注册表,实现木马开机自动运行。在被感染计算机系统的“%SystemRoot%\Help\”目录下释放一个恶意DLL功能组件“B41346EFA848.dll”,并将其插入到被感染计算机系统“explorer.exe”等用户级权限的进程中加载运行,在后台执行恶意操作,隐藏自我,防止被查杀。在被感染计算机的后台秘密监视正在运行的所有窗口标题,一旦发现标题中存在与安全相关的字符串(如“安全警报”)的窗口,便会强行向其进程循环发送垃圾消息,试图使其出错关闭或自动退出。强行篡改系统日期,利用某些安全软件存在的“时间判断”缺陷使其保护功能失效,进而达到自我保护的目的。在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取“魔兽世界Online”、“热血江湖Online”、“冒险岛Online”、“洛汗Online”等网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程站点上(地址加密存放),给游戏玩家带来一定程度的损失。同时,该木马还会窃取用户“雅虎通(Yahoo! Messenger)”和“Yahoo奇魔”的账号资料,并在后台将其发送到骇客指定远程服务器站点上。另外,“卡拉蜜”变种aa还能够自升级。
英文名称:TrojanDownloader.BHO.bs
中文名称:“BHO劫持者”变种bs
病毒长度:196096字节
病毒类型:木马下载器
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.BHO.bs“BHO劫持者”变种bs是“BHO劫持者”木马下载器家族中的最新成员之一,采用Delphi语言编写,并且经过加壳保护处理。该木马是由其它恶意程序释放出来的DLL功能组件,一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“BHO劫持者”变种bs运行时,秘密连接骇客指定的服务器站点,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。在被感染计算机系统中将自身注册为BHO(浏览器辅助对象),实现木马下载器随IE浏览器的启动而加载运行。在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://m*dl.*cn*t1*3.cn/”,下载恶意程序“mydlset.exe”并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户带来不同程度的损失。
更多精彩
赞助商链接