WEB开发网
开发学院网络安全病毒数据库 江民1.19病毒播报:通犯和代理木马变种 阅读

江民1.19病毒播报:通犯和代理木马变种

 2009-01-19 20:32:48 来源:WEB开发网   
核心提示:江民今日提醒您注意:在今天的病毒中Trojan/Generic.i“通犯”变种i和TrojanDropper.Agent.rfa“代理木马”变种rfa值得关注,英文名称:Trojan/Generic.i中文名称:“通犯”变种i病毒长度:21864字节病毒类型:木马危险级别:★影响平台:Win 9X/ME/NT/2000

江民今日提醒您注意:在今天的病毒中Trojan/Generic.i“通犯”变种i和TrojanDropper.Agent.rfa“代理木马”变种rfa值得关注。

英文名称:Trojan/Generic.i
  中文名称:“通犯”变种i
  病毒长度:21864字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003

Trojan/Generic.i“通犯”变种i是“通犯”木马家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,并且经过加壳保护处理。“通犯”变种i运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\wbem\”目录下,重新命名为“internat.exe”(文件属性设置为:系统、隐藏、只读)。“通犯”变种i可利用系统自动播放功能进行传播,会在被感染计算机系统(除系统盘以外)的所有分区下创建自动播放配置文件“autorun.inf”和木马主程序文件“internat.exe”,并设置文件属性为“系统、隐藏、只读、存档”,以此实现双击盘符激活木马,从而达到利用硬盘分区、U盘、移动硬盘、SD卡等存储设备进行自我传播的目的,给被感染计算机系统用户带来潜在的威胁。“通犯”变种i在运行时,会在后台连接骇客指定的URL“http://v***e.cn/down/net/test.txt”,读取配置文件,下载恶意程序并在被感染计算机上调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给计算机用户造成不同程度的损失。同时,“通犯”变种i会篡改系统注册表,致使计算机系统中的“显示系统隐藏文件”功能失效、“安全模式”被破坏。“通犯”变种i还会利用映像劫持,导致大量的安全软件、系统工具、诊断工具等无法正常运行,极大地降低了被感染计算机的安全性。另外,“通犯”变种i会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称:TrojanDropper.Agent.rfa
  中文名称:“代理木马”变种rfa
  病毒长度:32256字节
  病毒类型:木马释放器
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003

TrojanDropper.Agent.rfa“代理木马”变种rfa是“代理木马”家族中的最新成员之一,采用高级语言编写。“代理木马”变种rfa运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“rs32net.exe”。创建“svchost.exe”进程,将木马代码重组并插入其中调用运行,隐藏自我,防止被查杀。尝试连接若干个骇客指定的站点,读取配置文件,下载恶意程序并注入系统进程“services.exe”和“svchost.exe”中隐蔽运行。同时,“代理木马”变种rfa还会利用进程守护技术,防止病毒进程被轻易地结束,大大提高了自身的生存几率。其中,每个病毒进程都可以向若干随机ip地址及端口发送带毒邮件和垃圾数据包,严重地影响了被感染计算机系统的性能和网络带宽资源,给用户造成了更大程度上的损失。另外,“代理木马”变种rfa会修改注册表启动项,以此实现开机后的自动运行。

Tags:江民 病毒 播报

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接