WEB开发网
开发学院网络安全病毒数据库 江民6.9病毒播报:系统杀手和杀人魔变种 阅读

江民6.9病毒播报:系统杀手和杀人魔变种

 2009-06-30 04:42:00 来源:WEB开发网   
核心提示:江民今日提醒您注意:在今天的病毒中Trojan/AntiAV.oo“系统杀手”变种oo和Trojan/Kilva.bp“杀人魔”变种bp值得关注,英文名称:Trojan/AntiAV.oo中文名称:“系统杀手”变种oo病毒长度:41606字节病毒类型:木马危险级别:★★影响平台:Win 9X/ME/NT/2000/XP

江民今日提醒您注意:在今天的病毒中Trojan/AntiAV.oo“系统杀手”变种oo和Trojan/Kilva.bp“杀人魔”变种bp值得关注。

英文名称:Trojan/AntiAV.oo
  中文名称:“系统杀手”变种oo
  病毒长度:41606字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:6e8173833a3079c0b0a5378aafa304f5
  特征描述:
  Trojan/AntiAV.oo“系统杀手”变种oo是“系统杀手”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“系统杀手”变种oo运行后,会在被感染计算机系统的“%SystemRoot%\”目录下释放恶意程序“*_xeex.exe”,在“%SystemRoot%\system32\”目录下释放恶意DLL组件“killdll.dll”,并自我复制到该目录下,重新命名为“scvhost.exe”。同时,还会在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“pcidump.sys”、“aec.sys”和“AsyncMac.sys”。在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件便会尝试将其结束。篡改注册表,关闭某些安全软件的监控功能,还会删除一些安全软件的服务以及注册表启动项,致使用户的系统失去保护。“系统杀手”变种oo还会利用其释放的恶意驱动程序关闭安全软件的自保护功能,从而终止其进程。同时还会通过文件映像劫持功能,使得大量的安全软件无法正常启动运行,从而达到了自我保护的目的。“系统杀手”变种oo会利用Rootkit技术来隐藏自我的痕迹,从而防止被计算机用户轻易地发现和查杀。“系统杀手”变种oo运行时,会在被感染系统的后台连接骇客指定的远程服务器站点“http://wxg.3eh*.com/”,获取恶意程序下载列表“fz.txt”,然后在被感染计算机上下载大量恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“系统杀手”变种oo还会连接骇客指定的URL“http://count.y**e.com/count/get.asp”以反馈被感染计算机的相关信息。同时,“系统杀手”变种oo还具有自我更新的功能,以此更好地躲避了安全软件的围剿。另外,“系统杀手”变种oo第一次运行时会通过在被感染系统注册表启动项中添加键值“RsTray”的方式实现木马的开机自动运行,之后则会通过替换系统文件“userinit.exe”来实现开机自启。

英文名称:Trojan/Kilva.bp
  中文名称:“杀人魔”变种bp
  病毒长度:14736字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:285c466f7a727eb472b0d7b256a521e1
  特征描述:
  Trojan/Kilva.bp“杀人魔”变种bp是“杀人魔”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“杀人魔”变种bp运行后,如果发现自身位于被感染计算机系统的“%SystemRoot%\fonts”目录下,则会在该目录下释放加壳的恶意DLL文件“system32.dll”(文件属性设置为“系统、隐藏”);如果发现自身名为“userinit.EXE”,则会调用“system32.dll”进行恶意操作,同时还会启动桌面进程以使用户登陆系统。否则,便会自我复制到“%SystemRoot%\fonts”目录下,重新命名为“system32.exe”。“杀人魔”变种bp会在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在便会尝试将其结束。篡改系统时间,致使某些安全软件的授权失效从而无法正常启动监控,以此实现了自我保护的目的。“杀人魔”变种bp运行时,如果判断系统日期为某个指定的日期之前,则会在被感染系统的后台连接骇客指定的远程服务器站点“http://y*geiwofc.cn/”,下载大量指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。

Tags:江民 病毒 播报

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接