江民10.28病毒播报：窥私眼和暗门变种病毒

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/Cospet.r“窥私眼”变种r和Backdoor/Xyligan.ad“暗门”变种ad值得关注，英文名称：Trojan/Cospet.r中文名称：“窥私眼”变种r病毒长度：134434字节病毒类型：木马危险级别：★影响平台：Win 9X/ME/NT/2000/XP/20

江民今日提醒您注意：在今天的病毒中Trojan/Cospet.r“窥私眼”变种r和Backdoor/Xyligan.ad“暗门”变种ad值得关注。

英文名称：Trojan/Cospet.r
　　中文名称：“窥私眼”变种r
　　病毒长度：134434字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：4ebcccca9af93b72f2902b41b7d8918f
　　特征描述：
　　Trojan/Cospet.r“窥私眼”变种r是“窥私眼”木马家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，并且经过加壳保护处理。“窥私眼”变种r运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”文件夹下，重新命名为“Lsas.exe”。关闭系统防火墙，并在“%SystemRoot%\system32\”目录下创建“win23.txt”文件以记录进程窗口标题及相应的按键信息，同时可能进行屏幕截图，保存为“Cam.jpg”或“IMG.jpeg”，以此进行窃密活动。“窥私眼”变种r可能会将自身复制到网络共享软件的默认共享目录中，或者利用系统自动播放功能进行自我的传播和激活。其还可以向被感染系统用户的“MSN MESSENGER”和“Yahoo Messenger”好友发送垃圾信息，从而影响到了他人的信息安全。“窥私眼”变种r会通过FTP上传键盘记录文件、屏幕截图、以及其它敏感文件，从而不同程度地侵犯了用户的隐私。另外，“窥私眼”变种r会在被感染系统注册表启动项中添加键值“Winupdate”，以此实现木马的开机自动运行。

英文名称：Backdoor/Xyligan.ad
　　中文名称：“暗门”变种ad
　　病毒长度：66480字节
　　病毒类型：后门
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：7ebc28830f89fc6b8b10450655ea24f7
　　特征描述：
　　Backdoor/Xyligan.ad“暗门”变种ad是“暗门”后门家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“暗门”变种ad运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”文件夹下，重新命名为“*.exe”（文件名为随机6个字母），然后原病毒程序会将自我删除，以此消除痕迹。不断尝试与控制端（ip地址为：hdgpw.33*.org:8000）进行连接，如果连接成功，骇客便可以向被感染的计算机发送恶意指令，从而执行多种控制操作，其中包括：文件管理、进程控制、注册表操作、服务管理、下载其它恶意程序等，会给用户的个人隐私，甚至是商业机密造成不同程度的损失。“暗门”变种ad会修改注册表，从而将自身添加到系统防火墙的“例外”列表中，使得自身进行的网络通信不会被防火墙所监视。另外，其会在被感染计算机中注册名为“skdos”的系统服务，以此实现后门的开机自启（服务名称显示为“Remote Command Service”）。