江民4.22病毒播报：代理木马和胆大鬼变种

　2009-04-22 20:35:22　来源：WEB开发网　闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾剧懓顪冪€ｎ亜顒㈡い鎰Г閹便劌顫滈崱妤€骞婄紓鍌氬€瑰銊╁箟缁嬫鍚嬮柛顐線缂冩洟姊婚崒娆戭槮婵犫偓闁秵鎯為幖娣妼缁愭鏌″搴′簽濞戞挸绉甸妵鍕冀椤愵澀娌梺缁樻尪閸庣敻寮婚敐澶婂嵆闁绘劖绁撮崑鎾诲捶椤撴稑浜炬慨妯煎亾鐎氾拷

闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾剧懓顪冪€ｎ亝鎹ｉ柣顓炴閵嗘帒顫濋敐鍛婵°倗濮烽崑娑⑺囬悽绋挎瀬闁瑰墽绮崑鎰版煙缂佹ê绗ч柍褜鍓﹂崣鍐潖閸濆嫅褔宕惰娴犲ジ姊虹拠鑼闁煎綊绠栭幃楣冩倻閽樺鎽曢梺闈涱檧婵″洭宕㈤悽鍛娾拺閻熸瑥瀚烽崯蹇涙煕閻樺磭澧甸柕鍡楀€圭缓浠嬪川婵犲嫬骞堥梺纭呭閹活亞妲愰弴鐔哄ⅰ闂傚倷绶氬ḿ褍煤閵堝洠鍋撳顐㈠祮闁绘侗鍣ｉ獮鎺懳旈埀顒傜不閿濆棛绡€闂傚牊绋戦弳娆徝瑰⿰鍫㈢暫闁哄矉缍佹慨鈧柍鎯版硾濠€杈ㄧ珶閺囩喓绡€婵﹩鍘鹃崢鐢告⒑缂佹ê濮﹂柛鎾村哺閹ɑ娼忛妸銈囩畾闂佸湱绮敮鐐存櫠濞戞氨纾肩紓浣贯缚濞插鈧娲栧畷顒冪亙闂佸憡鍔曢崯鐘诲礈濠靛牊宕叉繛鎴炨缚閺嗗棗鈹戦悩杈厡闁轰焦鐗滅槐鎾存媴娴犲鎽甸梺鍦嚀濞层倝鎮鹃悜钘夌闁规惌鍘介崓鐢告⒑閻熸澘鎮侀柣鎺炵畵閹骞栨担鍏夋嫽婵炶揪绲块崕銈夊吹閳ь剟姊洪幖鐐测偓鏍偋閻樿崵宓侀煫鍥ㄧ⊕閺呮悂鏌ㄩ悤鍌涘

濠电姷鏁告慨鐑藉极閸涘﹥鍙忛柣鎴ｆ閺嬩線鏌涘☉姗堟敾闁告瑥绻戦妵鍕箻閸楃偟浠肩紓浣哄閸ㄥ爼寮诲☉銏犵疀闂傚牊绋掗悘鍫ユ倵閻熺増鍟炵紒璇插暣婵＄敻宕熼姘鳖啋闁诲酣娼ч幗婊堟偩婵傚憡鈷戠痪顓炴媼濞兼劖绻涢懠顒€鏋庢い顐㈢箳缁辨帒螣閼测晜鍤岄梻渚€鈧偛鑻晶顔肩暆閿濆牆鍔垫い锔界叀閹繝濡舵径瀣帾闂佸壊鍋呯换鍐磻椤忓懐绠剧€瑰壊鍠曠花濠氬箚閻斿吋鈷戦悗鍦У閵嗗啴鏌ら崘鑼煟鐎规洘绻堥弫鍐焵椤掑嫧鈧棃宕橀鍢壯囨煕閳╁喚娈橀柣鐔稿姍濮婃椽鎮℃惔鈩冩瘣闂佺粯鐗曢妶绋跨暦閻戞ḿ绡€闁搞儜鍐ㄧギ闂備線娼ф蹇曟閺囥垹鍌ㄦい蹇撶墛閳锋垿鏌熼懖鈺佷粶闁告梹顨婇弻锟犲川椤旈敮濮囩紓浣稿€圭敮鐔妓囩€靛摜纾奸弶鍫涘妼缁楁碍绻涢悡搴ｇ闁糕斁鍓濋幏鍛存煥鐎ｅ灚缍楅梻鍌氬€峰ù鍥ь浖閵娾晜鍊块柨鏇炲€哥粻鏌ユ煕閵夘喖澧柡瀣╃窔閺岀喖宕滆鐢盯鏌￠崨顔藉€愰柡灞诲姂閹倝宕掑☉姗嗕紦闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾剧懓顪冪€ｎ亜顒㈡い鎰Г閹便劌顫滈崱妤€骞婄紓鍌氬€瑰銊╁箟缁嬫鍚嬮柛顐線缂冩洟姊婚崒娆戭槮婵犫偓闁秵鎯為幖娣妼缁愭鏌″搴′簽濞戞挸绉甸妵鍕冀椤愵澀娌梺缁樻尪閸庣敻寮婚敐澶婂嵆闁绘劖绁撮崑鎾诲捶椤撴稑浜炬慨妯煎亾鐎氾拷　　闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌ｉ幋锝呅撻柛銈呭閺屻倝宕妷锔芥瘎婵炲濮靛銊ф閹捐纾兼繛鍡樺笒閸橈紕绱撴笟鍥ф珮闁搞劌鐖兼俊鎾礃椤旂厧绐涢梺鍝勵槹閸ㄥ綊宕㈠ú顏呭€垫鐐茬仢閸旀碍銇勯敂璇茬仸鐎规洩绻濋獮搴ㄦ嚍閵壯冨妇闂傚⿴鍋勫ú锕€煤閺嶃劎澧￠梻鍌欐祰椤曆呪偓鍨浮瀹曟粓鎮㈡總澶嬬稁闂佹儳绻愬﹢杈╁閸忛棿绻嗘い鏍ㄧ閹牊銇勯銏⑿㈡い顏勫暣婵″爼宕卞Δ鈧～搴ㄦ⒑閸涘⿴鐒奸柛銉戝懎寮ㄥ┑鐘灱濞夋稖鐧岄梺缁樻煥閸氬鎮￠妷鈺傚€甸柨婵嗛閸樻挳鏌涚€ｎ偅灏扮紒缁樼箓椤繈顢樺☉娆忣伖闂佽崵鍠愮划搴㈡櫠濡ゅ啯鏆滈柟鐑樻尵椤╂彃霉閻撳海鎽犻柣鎾存礋閺岀喖骞嗚閸ょ喖鏌嶉挊澶樻█闁哄苯绉剁槐鎺懳熼懡銈呭汲婵＄偑鍊ら崑鍛崲閸儱绠犳繝濠傛噹閺嬪牊淇婇婵愬殭妞ゅ繐缍婂濠氬磼濞嗘埈妲梺纭咁嚋缁辨洜鍒掑▎鎾崇闁挎柨鎼禍濂告⒑閸濆嫷妲归柛銊у枛瀵悂寮崼鐔哄幐闂佸憡鍔х徊鑺ョ閸撗呯＝濞达綀娅ｇ敮娑氱磼鐎ｎ偅灏扮紒鍌涘浮閺佸啴宕掑鎲嬬床婵犳鍠楅敃鈺呭礈閿曞倹鍊甸柟鎯板Г閳锋帒霉閿濆懏鎲搁柨娑樼Ф缁辨帡顢氶崨顓犱桓濡ょ姷鍋為崹鍨暦閸洦鏁嗛柛灞炬皑閵堬箓姊虹拠鎻掑毐缂傚秴妫欑粋宥夊冀椤撶偟鍝楁繛瀵稿Т椤戝棝鎮″▎鎾粹拺妞ゆ挶鍔庨悾鍗烆熆瑜滈崹閬嶅Φ閸曨垰妫橀柛顭戝枓閸嬫挾鎲撮崟顓涙敵婵犵數濮村ú锕傚磹闁垮浜滈煫鍥ㄦ尭椤忋倝鏌涚€ｎ偅宕岀€殿喖鈧噥妾ㄥ┑鐐插悑閻楁洟鍩為幋锔藉亹閻庡湱濮撮ˉ婵嬫⒑缁嬭儻顫﹂柛鏂块叄楠炲顫㈠畝鈧悿鈧┑鐐村灦宀ｅ潡鎮块崨瀛樷拺闁革富鍙€濡炬悂鏌涢悩鎰佹疁鐎殿喗鐓￠獮鏍ㄦ媴閸︻厼寮抽梻浣虹帛濞叉牠宕愰崷顓涘亾濮樼偓瀚�

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/Agent.bxxr“代理木马”变种bxxr和TrojanDropper.Danseed.cb“胆大鬼”变种cb值得关注，英文名称：Trojan/Agent.bxxr中文名称：“代理木马”变种bxxr病毒长度：459425字节病毒类型：木马危险级别：★★影响平台：Win

江民今日提醒您注意：在今天的病毒中Trojan/Agent.bxxr“代理木马”变种bxxr和TrojanDropper.Danseed.cb“胆大鬼”变种cb值得关注。

英文名称：Trojan/Agent.bxxr
　　中文名称：“代理木马”变种bxxr
　　病毒长度：459425字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：5f90ce4f765ad4e045a2cdca371da7ad
　　特征描述：
　　Trojan/Agent.bxxr“代理木马”变种bxxr是“代理木马”家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“代理木马”变种bxxr运行后，会在被感染计算机系统的临时文件夹下创建“RarSFX0”目录并释放恶意程序“loadwg.exe”和“QQ3gwg.exe”。“代理木马”变种bxxr释放的恶意程序是一个经过伪装的盗号木马，运行后会将部分代码加密，并在“%SystemRoot%\system32\”目录下生成随机8位字符文件名的恶意组件。该木马运行时，会在被感染计算机的后台访问指定的恶意广告站点“http://posheng*.cn/pbwz.html”，以此提高该站点的访问量，给骇客带来了非法的经济利益。同时，其释放的恶意程序“loadwg.exe”在运行时会检查另一恶意程序“qq3gwg.exe”是否正在运行。如果不存在该进程，则会向被感染计算机用户提示虚假信息“缺少组件，无法运行”。“代理木马”变种bxxr是一个专门盗取“QQ三国”网络游戏会员账号的木马程序，运行后会首先确认自身是否已经被插入到游戏进程“qqsg.exe”中。如果已经成功插入，便会利用鼠标钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的这些机密信息发送到骇客指定的远程服务器站点“http://*.sanguowiusgf*0000.cn/postly/post.asp”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。同时，“代理木马”变种bxxr释放的恶意程序在执行完毕后会将自身删除，从而达到了消除痕迹的目的。另外，“代理木马”变种bxxr会通过在被感染系统注册表“ShellExecuteHooks”下添加键值、修改登陆初始化内容以及修改“ShellServiceObjectDelayLoad”键值等多种方式来实现木马DLL组件的随机自启动。

英文名称：TrojanDropper.Danseed.cb
　　中文名称：“胆大鬼”变种cb
　　病毒长度：385024字节
　　病毒类型：木马释放器
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：b0311e802a551ec2020c472f239d7bb6
　　特征描述：
　　TrojanDropper.Danseed.cb“胆大鬼”变种cb是“胆大鬼”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“胆大鬼”变种cb运行后，会在被感染计算机系统的临时目录“%USERPROFILE%\Local Settings\Temp\”下释放经过加壳保护的恶意程序“1.exe”，该恶意程序还会再次进行释放。在经过三次释放等恶意行为之后，最终会在“%SystemRoot%\”目录下产生恶意程序“NoHacker.cn.exe”，并将文件属性设置为“系统、隐藏”。“胆大鬼”变种cb运行后，会将恶意代码注入到新创建的“iexplorer.exe”进程中加载运行。不断尝试与控制端（地址为：8075603*.3322.org:8000）进行连接，如果连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作，其中包括：文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、鼠标控制、视频监控等，会给用户的信息安全、个人隐私甚至是商业机密造成不同程度的侵害。同时，骇客还可以向傀儡主机发送大量的恶意程序，从而对用户的计算机安全构成严重的威胁。另外，“胆大鬼”变种cb会在被感染计算机中注册名为“Media_NoHacker.cn”的系统服务，以此实现木马的开机自动运行。