江民10.30病毒播报：系统杀手和狡猾贼变种

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/AntiAV.adg“系统杀手”变种adg和Backdoor/Bredolab.gm“狡猾贼”变种gm值得关注，英文名称：Trojan/AntiAV.adg中文名称：“系统杀手”变种adg病毒长度：8192字节病毒类型：木马危险级别：★★影响平台：Win 9X/ME/NT

江民今日提醒您注意：在今天的病毒中Trojan/AntiAV.adg“系统杀手”变种adg和Backdoor/Bredolab.gm“狡猾贼”变种gm值得关注。

英文名称：Trojan/AntiAV.adg
　　中文名称：“系统杀手”变种adg
　　病毒长度：8192字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：25a400f6d7b37105658a12e66182a484
　　特征描述：
　　Trojan/AntiAV.adg“系统杀手”变种adg是“系统杀手”家族中的最新成员之一，采用高级语言编写。“系统杀手”变种adg运行后，会关闭“Windows安全中心”服务，并试图关闭其它指定安全软件的进程及服务。利用注册表映像文件劫持特性，干扰指定安全软件的正常启动，以此达到自我保护的目的。“系统杀手”变种adg会检测系统中是否运行着“QQ”，从而判断计算机是否处于联网状态。如果处于联网状态，则会向骇客指定的页面“http://tg.fs0*.cn/c2/getmac.asp”反馈被感染计算机的相关信息。下载“http://txt.fod*w.com/xx.txt”到临时文件夹下，并根据该文件指定的地址列表下载大量的恶意程序并调用运行，用户可能因此而遭受到账号失窃、被远程控制等威胁。其还会下载“http://txt.fod*w.com/ad.txt”，并使用其替换系统hosts文件，利用域名劫持阻止用户访问腾讯等相关站点。另外，“系统杀手”变种adg还会单独下载恶意程序“http://dd.*ddxx.com/xx.exe”并调用运行。“系统杀手”变种adg会通过替换系统文件“userinit.exe”的方式实现其开机自启。

英文名称：Backdoor/Bredolab.gm
　　中文名称：“狡猾贼”变种gm
　　病毒长度：23040字节
　　病毒类型：后门
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：debd49b9f8f04449d5493eb535910199
　　特征描述：
　　Backdoor/Bredolab.gm“狡猾贼”变种gm是“狡猾贼”后门家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“狡猾贼”变种gm会判断当前运行环境是否是虚拟机或沙盒，如果是则退出运行。“狡猾贼”变种gm运行时，会自我复制到被感染系统的临时文件夹下，随机命名。自我复制到“%SystemRoot%\system32\”文件夹和“开始”菜单“启动”文件夹下，重新命名为“ikowin32.exe”，文件属性设置为“系统、只读”。将恶意代码注入到“explore.exe”进程之中，同时新建“svchost.exe”进程，并将恶意代码注入其中隐秘运行。“狡猾贼”变种gm会连接骇客指定的远程服务器，下载恶意程序并调用运行，用户可能因此而遭到被远程控制或者账号失窃的情况。