江民8.14病毒播报：系统刺客和小广告变种

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/PSW.GinaDLL.as“系统刺客”变种as和Trojan/Pasta.du“小广告”变种du值得关注，英文名称：Trojan/PSW.GinaDLL.as中文名称：“系统刺客”变种as病毒长度：75532字节病毒类型：木马危险级别：★★影响平台：Win 9X/ME/

江民今日提醒您注意：在今天的病毒中Trojan/PSW.GinaDLL.as“系统刺客”变种as和Trojan/Pasta.du“小广告”变种du值得关注。

英文名称：Trojan/PSW.GinaDLL.as
　　中文名称：“系统刺客”变种as
　　病毒长度：75532字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：0e9611123e74365ef02e65eaf706732a
　　特征描述：
　　Trojan/PSW.GinaDLL.as“系统刺客”变种as是“系统刺客”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“系统刺客”变种as运行后，会在被感染系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“func.dll”，在“%SystemRoot%\”目录下释放恶意DLL组件“phpi.dll”，在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“pcidump.sys”和“acpiec.sys”。“系统刺客”变种as运行时，会利用其释放的恶意驱动程序“acpiec.sys”关闭安全软件的自保护功能，终止大量的安全软件、系统工具、应用程序的进程，同时还会关闭相关的系统服务等，致使用户的计算机系统失去保护。恶意修改“hosts”文件，通过域名映像劫持功能屏蔽大量的站点，使得用户无法通过网络获取病毒查杀方面的信息。感染所有磁盘分区中的“.html”和“.htm”文件，通过向其尾部添加恶意代码的方式实施网页挂马。“系统刺客”变种as会感染“C:\”以外分区中除“QQ.exe”和“360safe.exe”以外的所有“.exe”文件，被感染的文件可能因此而无法运行，或者在运行后连接骇客指定的站点并进行恶意程序的下载运行。另外，“系统刺客”变种as还会进行下载恶意程序并自动调用运行、在系统盘根目录下创建自动播放配置文件和木马主程序文件、通过“MS08-067”漏洞对其它计算机进行溢出攻击以及感染桌面程序“explorer.exe”等恶意行为，从而对被感染系统造成了更加严重的破坏，为计算机用户制造了更多的威胁。

英文名称：Trojan/Pasta.du
　　中文名称：“小广告”变种du
　　病毒长度：354615字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：23c4eb75c581002c0cdc13404f258987
　　特征描述：
　　Trojan/Pasta.du“小广告”变种du是“小广告”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“小广告”变种du运行后，会在被感染系统的“%SystemRoot%\”目录下释放恶意程序“litexp.exe”和注册表文件“litexp.reg”。通过修改注册表，“小广告”变种du可实现创建开机启动项“Lite”以及篡改IE浏览器主页为“http://www.656*.cn/”。关闭系统自动更新、并且会屏蔽微软恶意软件清理工具以及“KB905474”补丁的更新以及安装提示。其释放的恶意程序“litexp.exe”是个自解压文件，运行后会通过执行其中的脚本文件的方式删除IE收藏夹中已存在的链接，同时向系统管理员和默认用户文件夹中释放新的IE快捷方式到“快捷启动栏”和“IE收藏夹”中。这些快捷方式均指向了骇客指定的站点，例如“http://www.91o*.com/”，“http://www.656*.cn/”等，从而以这种方式进行大肆敛财，牟取非法的利益。在上述行为执行完成后，这些恶意程序会通过批处理指令将自身删除，以此消除痕迹。