江民10.13病毒播报:U盘寄生虫和卡拉蜜变种
2009-10-13 20:39:58 来源:WEB开发网江民今日提醒您注意:在今天的病毒中Worm/AutoRun.lkd“U盘寄生虫”变种lkd和Packed.Krap.rxy“卡拉蜜”变种rxy值得关注。
英文名称:Worm/AutoRun.lkd
中文名称:“U盘寄生虫”变种lkd
病毒长度:24214字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
md5 校验:5ddd0284237188b850b5a0772e9e4485
特征描述:
Worm/AutoRun.lkd“U盘寄生虫”变种lkd是“U盘寄生虫”蠕虫家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“U盘寄生虫”变种lkd运行后,将自身设置为“系统、隐藏”属性,并修改系统时间。在被感染计算机系统的“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“beep.sys”,同时移动系统文件“wuauclt.exe”到“c:\tttmm.tep”,然后自我复制为“wuauclt.exe”(替换系统文件时系统不弹出警告),以此实现了开机自动运行。同时,还会将“urlmon.dll”复制为“dkmsskmgrs.dll”。“U盘寄生虫”变种lkd运行后,会利用恶意驱动程序关闭安全软件的自保护功能,终止大量安全软件的进程、服务,同时利用注册表映像文件劫持干扰这些软件的启动。监视所有正在运行程序的窗口标题,一旦发现标题中存在与安全相关的字符串(如“anti”、“专杀”、“清理”等)便会尝试结束其进程。“U盘寄生虫”变种lkd会修改注册表中的相关键值,致使系统中的“显示系统隐藏文件”功能失效、无法进入“安全模式”。“U盘寄生虫”变种lkd会在被感染系统中的所有磁盘分区根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫主程序文件“HBDP.PIF”,以此实现双击盘符后激活蠕虫的目的,从而达到了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的。“U盘寄生虫”变种lkd还会将恶意代码注入到新创建的进程“iexplore.exe”中隐秘运行,并连接骇客指定的URL,下载大量恶意程序并调用运行,致使系统用户遭受不同程度的威胁。另外,“U盘寄生虫”变种lkd会通过在被感染系统注册表启动项中添加键值的方式实现蠕虫的开机自启。
英文名称:Packed.Krap.rxy
中文名称:“卡拉蜜”变种rxy
病毒长度:823840字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:894106e1ccd5aaff105392beb0505280
特征描述:
Packed.Krap.rxy“卡拉蜜”变种rxy是“卡拉蜜”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“卡拉蜜”变种rxy运行后,会自我复制到被感染计算机系统的“C:\Documents and Settings\All Users\application Data\16030624”文件夹下,重新命名为“16030624.exe”。“卡拉蜜”变种rxy是一个伪装成杀毒软件的恶意程序。这款名为“Total Security”的假冒杀毒软件会向用户谎报计算机中存在大量的木马等,如果用户想通过该软件清除木马则需要购买授权,从而以此种方式对用户进行诈骗。另外,“卡拉蜜”变种rxy会通过在被感染系统注册表启动项中添加键值“16030624”的方式实现木马的开机自动运行。
更多精彩
赞助商链接