江民6.5病毒播报：杀人魔和代理木马变种

　2009-06-30 04:51:00　来源：WEB开发网　　　

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/Kilva.d“杀人魔”变种d和Trojan/Agent.acls“代理木马”变种acls值得关注，英文名称：Trojan/Kilva.d中文名称：“杀人魔”变种d病毒长度：27960字节病毒类型：木马危险级别：★★★影响平台：Win 9X/ME/NT/2000/XP/2

江民今日提醒您注意：在今天的病毒中Trojan/Kilva.d“杀人魔”变种d和Trojan/Agent.acls“代理木马”变种acls值得关注。

英文名称：Trojan/Kilva.d
　　中文名称：“杀人魔”变种d
　　病毒长度：27960字节
　　病毒类型：木马
　　危险级别：★★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：a730993f405a2d3e3c2a83b9b463c6d5
　　特征描述：
　　Trojan/Kilva.d“杀人魔”变种d是“杀人魔”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“杀人魔”变种d运行后，如果发现系统中不存在某些安全软件的进程，则会在被感染系统的“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“kvsys.sys”和“tesafe.sys”。在“%USERPROFILE%\Local Settings\Temp\”目录下释放具有“系统、隐藏”属性的恶意程序“fsrtdfyyvuu.exe”，并将其复制到“%SystemRoot%\fonts”目录下，重新命名为“system32.exe”。“杀人魔”变种d运行时，会利用恶意驱动程序“kvsys.sys”关闭安全软件的自保护功能，并试图结束大量的安全软件进程。修改本地时间，致使某些安全软件的授权失效进而无法开启监控，以此使得用户的计算机系统失去安全软件的防护，为其进行后续的恶意操作创造了条件。强行篡改“hosts”文件，利用域名映像劫持功能屏蔽某些安全站点，阻止用户对这些网站进行访问。“杀人魔”变种d会将“tesafe.sys”注册成名为“腾讯驱动”的服务，并利用该服务在被感染计算机启动时篡改系统文件“userinit.exe”，从而轻易地达到了自动运行的目的，同时也增强了自身的隐蔽性。“杀人魔”变种d会在除系统盘以外的分区中搜寻“.exe”文件，发现后便会在其目录下释放仿冒系统文件的恶意DLL组件“USP10.DLL”。该恶意DLL组件会随着正常程序的启动而被自动调用运行，运行后会连接骇客指定的远程服务器站点“http://935474.53*dns.com/”，下载恶意程序“gengxin.exe”并调用执行。该恶意程序可能为“杀人魔”木马的最新变种，或者是其它的恶意程序。其还会在被感染系统的后台连接骇客指定的远程服务器站点“http://y*geiwofc.cn/”，获取恶意程序下载列表，并在被感染系统上下载其它大量的恶意程序并自动运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“杀人魔”变种d还会连接骇客指定的页面“http://y*geiwofc.cn/02/tj/count.asp”以统计感染情况，其释放的恶意DLL组件“USP10.DLL”不仅可能导致用户在重装系统后重复染毒，也可达到通过U盘、移动硬盘等可移动存储设备进行传播的目的。

英文名称：Trojan/Agent.acls
　　中文名称：“代理木马”变种acls
　　病毒长度：282624字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：8bd643d7c732eeb2d70fa08875b380af
　　特征描述：
　　Trojan/Agent.acls“代理木马”变种acls是“代理木马”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”语言编写。“代理木马”变种acls运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放加壳的恶意DLL组件“tcpcon.dll”、“Packer.dll”，还会在该目录下释放恶意程序“tcpd.exe”和自动关机程序“AUTMGR.EXE”。“代理木马”变种acls运行时，会将释放出的恶意DLL组件“tcpcon.dll”插入到被感染计算机系统的“winlogon.exe”等进程中加载运行，并在后台执行相应的恶意操作，隐藏自我，防止被查杀。在被感染系统的后台连接骇客指定的远程服务器站点“http://www.dofu**ill.info/”，下载恶意程序“ipHACTION.dll”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或其它木马下载器等，致使用户面临着更多的威胁。“代理木马”变种acls还可能通过该站点进行自动更新、下载其它恶意程序、收集用户敏感信息、反馈感染情况的恶意行为，致使用户的隐私泄露，甚至面临着更多不同程度的风险。另外，“代理木马”变种acls会通过在被感染系统注册表启动项中添加键值的方式来实现木马的开机自启。