江民4.18病毒播报：代理木马和QQ大盗变种

　2009-04-18 20:35:25　来源：WEB开发网　　　

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/Boupke.b“毒壳”变种b和Trojan/DDoS.Delf.bp“Trojan/DDoS.Delf”变种bp值得关注，英文名称：Trojan/Boupke.b中文名称：“毒壳”变种b病毒长度：339968字节病毒类型：木马危险级别：★★影响平台：Win 9X/ME/

江民今日提醒您注意：在今天的病毒中Trojan/Boupke.b“毒壳”变种b和Trojan/DDoS.Delf.bp“Trojan/DDoS.Delf”变种bp值得关注。

英文名称：Trojan/Boupke.b
　　中文名称：“毒壳”变种b
　　病毒长度：339968字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：c2cddfb2d45524502681ab62d9279bc8
　　特征描述：
　　Trojan/Boupke.b“毒壳”变种b是“毒壳”木马家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写。“毒壳”变种b运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“acpi64.ocx”，文件属性设置为“系统、隐藏”。还会在“%SystemRoot%\system32\drivers\”目录下释放仿冒系统文件的恶意驱动程序“beep.sys”。“毒壳”变种b运行时，会将恶意代码注入到系统进程“winlogon.exe”中隐密运行，并以此监视、守护所启动的恶意程序不被轻易地结束。同时，还会将其释放的恶意DLL组件插入到两个新建的“svchost.exe”进程中，这两个进程在执行恶意操作的同时，也会进行相互守护。被感染计算机的后台遍历当前系统中所有正在运行的进程，一旦发现指定的安全软件存在，便会尝试通过多种方式来结束这些进程。利用释放的恶意驱动程序关闭安全软件的自我保护功能，并试图终止其运行，致使用户的计算机系统失去保护。删除大量安全软件的相关注册表项，终止任何带有安全软件相关模块的进程，同时还会干扰大量系统工具的正常运行，给用户造成了更多的威胁。该木马还会强行篡改被感染系统的“hosts”文件，利用域名映像劫持来屏蔽某些安全站点，阻止用户对这些网站的访问，从而更好地实现了自我保护。“毒壳”变种b会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://www.usinfos*c.info/”，读取配置文件“usa.txt”，然后根据配置文件中的设置进行多种恶意操作，例如对指定的ip地址及端口实施多种方式的DDos攻击，大大地消耗了被攻击计算机的网络带宽和系统资源，给被攻击者造成了不同程度的损失。同时，该木马还会根据配置文件中的URL下载其它恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户的信息安全受到更加严重的侵害。另外，“毒壳”变种b还具有自动更新功能，会根据配置文件中的信息进行自我更新。

英文名称：Trojan/DDoS.Delf.bp
　　中文名称：“Trojan/DDoS.Delf”变种bp
　　病毒长度：41472字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：571dbe1a7458d9ea01e36de79aca8efa
　　特征描述：
　　Trojan/DDoS.Delf.bp“Trojan/DDoS.Delf”变种bp是“Trojan/DDoS.Delf”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”语言编写，并且经过加壳保护处理。“Trojan/DDoS.Delf”变种bp运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，设置文件属性为“系统、隐藏”。在相同目录下释放恶意DLL组件“Stormser.dll”，同时修改该文件的时间属性（“创建时间”和“修改时间”）为系统安装日期，以此迷惑用户，从而达到了更好的隐蔽效果。“Trojan/DDoS.Delf”变种bp运行时，会将释放的恶意DLL组件插入到“explorer.exe”等进程中加载运行。在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://rq35.33*.org:1990”，接收服务器发送的配置文件，并根据配置文件中的内容对指定的IP地址发动恶意攻击，从而给被攻击者造成了严重的侵害。同时，“Trojan/DDoS.Delf”变种bp还会根据配置文件下载恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临着更多的威胁。“Trojan/DDoS.Delf”变种bp在安装完毕后会将自我删除，从而达到了消除痕迹的目的。同时，其还会在被感染计算机中注册名为“Storm ddos soft free”的系统服务，以此实现木马的开机自启动。