江民7.6病毒播报：拉斯达和变异体变种病毒

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/LaSta.q“拉斯达”变种q和TrojanDownloader.Geral.cx“变异体”变种cx值得关注，英文名称：Trojan/LaSta.q中文名称：“拉斯达”变种q病毒长度：123392字节病毒类型：木马危险级别：★影响平台：Win 9X/ME/NT/2000/

江民今日提醒您注意：在今天的病毒中Trojan/LaSta.q“拉斯达”变种q和TrojanDownloader.Geral.cx“变异体”变种cx值得关注。

英文名称：Trojan/LaSta.q
　　中文名称：“拉斯达”变种q
　　病毒长度：123392字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：08ecacff4ea8ceeacfec884d709e662b
　　特征描述：
　　Trojan/LaSta.q“拉斯达”变种q是“拉斯达”木马家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，并且经过加壳保护处理。“拉斯达”变种q运行后，会在被感染系统的“%SystemRoot%\web\”目录下释放恶意程序“winxp.exe”和批处理文件“winxp.txt”、“2.txt”、“3380.bat”，同时还会在“%SystemRoot%\system32\”目录下释放恶意DLL文件“termsrvhack.dll”，并设置该文件属性为“系统、隐藏、只读”。通过执行批处理指令，“拉斯达”变种q可以关闭系统防火墙服务并开启“DcomLaunch”服务。在被感染系统中新建具有管理员权限的账户（用户名和密码均为“feihack”），并修改“Terminal Services”（远程桌面）服务，以此实现了恶意DLL组件的开机自动运行。“拉斯达”变种q会将IE主页修改为“http://www.ba*u.com/index.php?tn=jhtml_pg”，以此推广骇客指定的站点，从而获得更多不法的经济利益。同时，骇客还可以通过流量统计功能，获取访客的ip地址，然后通过之前创建的系统用户以及被篡改的“远程桌面”服务，实现对被感染计算机的远程控制。被篡改的“远程桌面”服务可以实现用户的同时登录，从而为用户的系统安全带来了更多的风险和隐患。

英文名称：TrojanDownloader.Geral.cx
　　中文名称：“变异体”变种cx
　　病毒长度：10752字节
　　病毒类型：木马下载器
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：62503e492ae1e6d8e92799466be093de
　　特征描述：
　　TrojanDownloader.Geral.cx“变异体”变种cx是“变异体”木马下载器家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“变异体”变种cx可能是某恶意软件的组成部分，会被其它恶意程序复制到“%SystemRoot%\system32\”目录下，重新命名为“scvhost.exe”，其还可能覆盖系统文件“userinit.exe”。如果“变异体”变种cx发现自己名为“userinit.exe”，则会启动桌面程序“explorer.exe”，从而使得用户正常登陆系统，不仅减少了中毒后系统表现出的异常，同时也实现了开机自动运行的目的。“变异体”变种cx运行时，会在被感染系统的后台连接经过多次解密后得到的远程站点地址“http://sftv*dew.cn/0030/”，获取恶意程序下载列表“ttnew.txt”，然后在被感染计算机上下载该文件中指定的大量恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“变异体”变种cx还会向骇客指定的页面“http://asdasw*w.cn/0030/Count.asp”反馈被感染计算机的信息，以此对感染情况以及恶意程序下载情况等进行统计。另外，“变异体”变种cx还会在被感染系统注册表启动项中添加键值“RsTray”，以此实现木马的开机自启。