江民9.21病毒播报：代理木马和SQL幽灵变种

核心提示：江民今日提醒您注意：在今天的病毒中TrojanDropper.Agent.aaxa“代理木马”变种aaxa和Exploit.SqlShell.o“SQL幽灵”变种o值得关注，英文名称：TrojanDropper.Agent.aaxa中文名称：“代理木马”变种aaxa病毒长度：23552字节病毒类型：木马释放器危险级别：

江民今日提醒您注意：在今天的病毒中TrojanDropper.Agent.aaxa“代理木马”变种aaxa和Exploit.SqlShell.o“SQL幽灵”变种o值得关注。

英文名称：TrojanDropper.Agent.aaxa
　　中文名称：“代理木马”变种aaxa
　　病毒长度：23552字节
　　病毒类型：木马释放器
　　危险级别：★★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：35db985e312f22cc6ead0a4a5f2d0a2d
　　特征描述：
　　TrojanDropper.Agent.aaxa“代理木马”变种aaxa是“代理木马”木马释放器家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“代理木马”变种aaxa运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\dllcache\”文件夹下，重新命名为“systembox.bak”。在“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“*.dll”（文件名从netsvcs服务组中依次取得，一般从“6to4”开始），同时将其复制到“%SystemRoot%\system32\dllcache\”文件夹下。另外，还会在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“WmiSvc.sys”，用以结束各类安全软件的自我保护。结束大量安全软件的进程，同时利用注册表映像文件劫持功能，干扰这些安全软件的正常运行。“代理木马”变种aaxa释放的DLL文件在运行后，会下载其它各类木马或者连接指定的挂马页面，从而给用户造成不同程度的损失。“代理木马”变种aaxa还可通过移动存储设备及网上邻居进行传播，其会自我复制为“[盘符]:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe”并生成“autorun.inf”文件，从而利用系统的自动播放功能激活自我。通过自带的密码表对存在弱口令的网上邻居进行连接，一旦连接成功便会复制自身到该计算机的“C:\”下，重新命名为“bootfont.exe”，并且利用计划任务功能将其激活。另外，“代理木马”变种aaxa会对部分扩展名为“.exe”、“.asp”、“.htm”、“.html”、“.aspx”及“.RAR”文件进行感染，从而给用户造成更多的风险。“代理木马”变种aaxa会在被感染计算机中注册为系统服务，以此实现开机自启。

英文名称：Exploit.SqlShell.o
　　中文名称：“SQL幽灵”变种o
　　病毒长度：227328字节
　　病毒类型：漏洞病毒
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：750e784163ea09d7889b4e1110b985e2
　　特征描述：
　　Exploit.SqlShell.o“SQL幽灵”变种o是“SQL幽灵”漏洞病毒家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“SQL幽灵”变种o运行时，会在被感染系统的“%SystemRoot%\system32\”目录下释放经过加壳保护的恶意DLL组件“dwinter.dll”和“dwintel.dll”。“SQL幽灵”变种o会针对“Microsoft SQL Server 2003”或其它版本的已知漏洞进行攻击，其会搜索当前网段内存在的数据库服务，并对使用了弱口令、采用混合验证模式登陆的数据库服务进行连接。骇客会发送特定的查询使得之前释放的DLL文件被调用，一旦调用成功，“SQL幽灵”变种o可能会通过FTP等方式下载其它的恶意程序，或者在服务器上执行任意代码，从而对被感染系统的用户造成不同程度的侵害。