江民11.20病毒播报：刻毒虫和暗门变种病毒

核心提示：江民今日提醒您注意：在今天的病毒中Worm/Kido.cc“刻毒虫”变种cc和Backdoor/Xyligan.ci“暗门”变种ci值得关注，英文名称：Worm/Kido.cc中文名称：“刻毒虫”变种cc病毒长度：169043字节病毒类型：蠕虫危险级别：★★影响平台：Win 9X/ME/NT/2000/XP/2003m

江民今日提醒您注意：在今天的病毒中Worm/Kido.cc“刻毒虫”变种cc和Backdoor/Xyligan.ci“暗门”变种ci值得关注。

英文名称：Worm/Kido.cc
　　中文名称：“刻毒虫”变种cc
　　病毒长度：169043字节
　　病毒类型：蠕虫
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：81abc5e68ca47004b75e7027d2810fa3
　　特征描述：
　　Worm/Kido.cc“刻毒虫”变种cc是“刻毒虫”家族中的最新成员之一，该蠕虫是由“kido”主程序释放出来的DLL功能组件，经过加壳保护处理。“刻毒虫”变种cc运行后，会移动自身到“%SystemRoot%\system32\”文件夹下，若不成功则进一步尝试移动到“C:\PRogram Files\Movie Maker\”、“%USERPROFILE%\application Data\”、“%Temp%”等文件夹下，重新命名为“*.dll”（文件名为随机字符串，不过通常是“bqwzif.dll”）。另外还会释放一个临时的恶意驱动程序。“刻毒虫”变种cc运行后，会将恶意程序插入“svchost.exe”或者“explorer.exe”进程之中隐秘运行。关闭系统自动更新服务（wuauserv）、后台智能传输（BITS）服务以及“WinDefend”等服务，并利用自带的密码表对使用弱口令的网上邻居进行口令猜解。一旦猜解成功，便会通过MS08-067漏洞向该网上邻居发送一个特定的RPC请求，用于下载kido主程序并创建计划任务，从而激活该蠕虫文件。“刻毒虫”变种cc运行时，会监视系统中打开的窗口，并关闭带有指定字符串（大部分为安全厂商名称）的窗口。同时还会阻止用户连接指定的站点（通常是安全软件或微软的网站），干扰用户通过网络寻求病毒的解决方案。“刻毒虫”变种cc会利用特定算法生成大量的随机域名，同时下载其它的恶意程序，用户可能因此而遭受信息泄露、远程控制、垃圾邮件等侵害。“刻毒虫”变种cc还可通过移动存储设备进行传播，当其发现有新的移动存储设备接入时，便会在其根目录下创建文件夹“RECYCLER\S-*-*-*-*-*-*-*”（*为随机字符串），并在其中生成自身副本“*.vmx”（文件名随机，不过通常是“jwgkvsq.vmx”），同时在根目录下创建“autorun.inf”，设置上述文件及文件夹属性为“系统、只读、隐藏”，以此实现利用系统自动播放功能进行传播的目的。“刻毒虫”变种cc会在被感染系统中新建一个随机名称的系统服务，并通过“svchost.exe”或“services.exe”实现开机自动运行。其还会修改文件和注册表的访问控制对象，致使用户无法删除自身产生的文件和注册表项。

英文名称：Backdoor/Xyligan.ci
　　中文名称：“暗门”变种ci
　　病毒长度：118272字节
　　病毒类型：后门
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：ede3acca570d506ac836b6edd01abc4b
　　特征描述：
　　Backdoor/Xyligan.ci“暗门”变种ci是“暗门”家族中的最新成员之一。“暗门”变种ci运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“piwzgm.exe”。不断尝试与控制端（地址为：yaliceshi.332*.org:8000）进行连接，如果连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户构成严重的威胁。另外，“暗门”变种ci会在被感染计算机中注册名为“Network Power Services”的系统服务，以此实现其开机自启。