江民10.23病毒播报：伪程序和兽门变种病毒

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/Antavmu.nt“伪程序”变种nt和Backdoor/Beastdoor.bc“兽门”变种bc值得关注，英文名称：Trojan/Antavmu.nt中文名称：“伪程序”变种nt病毒长度：68176字节病毒类型：木马危险级别：★★影响平台：Win 9X/ME/NT/20

江民今日提醒您注意：在今天的病毒中Trojan/Antavmu.nt“伪程序”变种nt和Backdoor/Beastdoor.bc“兽门”变种bc值得关注。

英文名称：Trojan/Antavmu.nt
　　中文名称：“伪程序”变种nt
　　病毒长度：68176字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：e1331c2a8368eaf2822d408d619983a9
　　特征描述：
　　Trojan/Antavmu.nt“伪程序”变种nt是“伪程序”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“伪程序”变种nt运行后，会创建一个新的自身进程，并将新的恶意程序代码注入该进程，以此执行恶意操作。自我复制到被感染系统的“%USERPROFILE%\application Data\S03-7323-GEYNAWT-2623-TGAW\”文件夹下，重新命名为“winlogon.exe”，并将该文件夹设置为“系统回收站”图标，文件夹及文件都设置为“系统、隐藏、只读”属性，以此隐藏自我。在后台遍历当前系统中所有正在运行的进程，一旦发现指定安全软件的进程便会尝试将其结束。同时还会隐藏自身进程，使得用户无法在“Windows任务管理器”中看到其进程，从而达到了自我保护的目的。利用域名劫持阻止用户访问大量的安全站点，致使用户无法通过这些站点获取病毒查杀方面的信息。“伪程序”变种nt会将自身命名为一些知名软件的算号程序，并通过网络资源共享软件进行传播。另外，其还会通过可移动存储设备进行传播。“伪程序”变种nt会修改注册表，致使“显示系统隐藏文件”的功能失效，同时会向多个注册表位置添加名为“Windows Login Assistant”的启动项，以此实现开机自动运行。

英文名称：Backdoor/Beastdoor.bc
　　中文名称：“兽门”变种bc
　　病毒长度：30357字节
　　病毒类型：后门
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：ea9da8b0d553df812d987c4ce9c82229
　　特征描述：
　　Backdoor/Beastdoor.bc“兽门”变种bc是“兽门”后门家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“兽门”变种bc运行后，会自我复制到被感染系统的“%SystemRoot%\”、“%SystemRoot%\system32\”、“%SystemRoot%\msagent\”文件夹下，分别重新命名为“svchost.exe”、“msunpc.com”、“msqxtq.com”。将以上文件属性设置为“系统”，同时修改文件的时间属性（“创建时间”和“修改时间”），以此迷惑用户。“兽门”变种bc运行时，可能会关闭“Windows系统防火墙”服务，并创建名为“beasty”的窗口类，从而防止创建重复的进程。开启被感染计算机的“6666”端口并监听，从而为骇客大开后门。骇客可以对被感染系统执行各种控制，其中包括：文件管理、进程控制、注册表操作、远程命令执行、下载其它恶意程序、屏幕监控、鼠标控制、音频监控、视频监控、键盘记录等，从而对系统用户构成了严重的威胁。“兽门”变种bc会将击键信息记录到文件“mslg.blf”中，并发送到骇客指定的邮箱中，从而致使用户的私密信息失窃。另外，“兽门”变种bc会通过在被感染系统注册表启动项中添加键值“COM Service”、在“Installed Components”键下添加子键的方式实现开机自启。