江民9.12病毒播报：诈骗器和代理木马变种

核心提示：江民今日提醒您注意：在今天的病毒中TrojanDownloader.FraudLoad.grp“诈骗器”变种grp和Trojan/Agent.cunk“代理木马”变种cunk值得关注，英文名称：TrojanDownloader.FraudLoad.grp中文名称：“诈骗器”变种grp病毒长度：47104字节病毒类型：木

江民今日提醒您注意：在今天的病毒中TrojanDownloader.FraudLoad.grp“诈骗器”变种grp和Trojan/Agent.cunk“代理木马”变种cunk值得关注。

英文名称：TrojanDownloader.FraudLoad.grp
　　中文名称：“诈骗器”变种grp
　　病毒长度：47104字节
　　病毒类型：木马下载器
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：e7dfc156aab3f007f821e88f3b137ac1
　　特征描述：
　　TrojanDownloader.FraudLoad.grp“诈骗器”变种grp是“诈骗器”木马下载器家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“诈骗器”变种grp运行后，会在被感染计算机系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意程序“braviax.exe”，在“%SystemRoot%\drivers\”、“%SystemRoot%\system32\drivers\”和“%SystemRoot%\system32\dllcache\”文件夹下释放恶意驱动程序“figaro.sys”和“beep.sys”，同时关闭系统文件保护提示，防止在覆盖系统文件时被用户发现。“诈骗器”变种grp运行时，会创建注册表项“PC_Antispyware2010”。篡改注册表，关闭系统防火墙以及Windows安全中心，修改IE浏览器默认主页、搜索页等为“Google”。其会在系统托盘区域弹出“Your computer is infected!”的提示，然后在未经用户授权的情况下就连接骇客指定的站点“http://poladerfados*ter.com/?wmid=1019&d=3&it=2&s=30”等进行程序下载。这款名为“PC Antispyware 2010”的程序会假装扫描计算机中的文件，并且向用户谎报系统中存在大量的木马等。如果用户想用该软件清除木马则需花钱购买授权，从而以此种方式对用户进行诈骗。另外，“诈骗器”变种grp会通过在被感染系统注册表启动项中添加键值“braviax”的方式实现开机自动运行。

英文名称：Trojan/Agent.cunk
　　中文名称：“代理木马”变种cunk
　　病毒长度：15360字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：7421bc339f60bd1bf00a7e6e78795e68
　　特征描述：
　　Trojan/Agent.cunk“代理木马”变种cunk是“代理木马”木马家族中的最新成员之一，采用高级语言编写。“代理木马”变种cunk运行后，会禁用“Windows文件保护功能”，使其在修改系统文件时不会被用户察觉。查找当前没有启动的系统服务，然后用恶意文件替换该服务所指向的DLL文件，并且修改文件的时间属性，以此实现开机自启。“代理木马”变种cunk还会同时替换“%SystemRoot%\system32\dllcache\”下对应的系统文件备份，之后会将自我删除，从而消除痕迹。这些被替换的恶意文件会被江民杀毒软件识别为“TrojanDownloader.Agent.bpgj”，文件大小均为9KB，运行后会干扰各种安全软件的运行以及下载大量的木马程序，从而给用户造成更加严重的损失。