江民9.10病毒播报:U盘寄生虫和病毒释放器
2009-09-10 20:40:57 来源:WEB开发网江民今日提醒您注意:在今天的病毒中Worm/AutoRun.jwc“U盘寄生虫”变种jwc和Win32/Dropper.l“病毒释放器”变种l值得关注。
英文名称:Worm/AutoRun.jwc
中文名称:“U盘寄生虫”变种jwc
病毒长度:19456字节
病毒类型:蠕虫
危险级别:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
md5 校验:36a9a2fe9bbbda35d4f588d9a0dbb115
特征描述:
Worm/AutoRun.jwc“U盘寄生虫”变种jwc是“U盘寄生虫”蠕虫家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,是一个由其它恶意程序释放出来的DLL功能组件,经过加壳保护处理。“U盘寄生虫”变种jwc以服务的方式启动后,会自我复制到被感染计算机的“%SystemRoot%\system32\dllcache\”文件夹下。在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“WmiSvc.sys”,然后从“%SystemRoot%\system32\dllcache\”目录下读取“系统、隐藏、只读”属性的病毒主程序文件“systembox.bak”,并将其复制到其它的可执行文件中。“U盘寄生虫”变种jwc会利用其释放的恶意驱动程序关闭安全软件的自我保护,从而结束大量的安全软件、系统诊断修复工具的进程,并利用注册表映像劫持功能干扰这些程序的正常启动。“U盘寄生虫”变种jwc运行时,会连接骇客指定的URL“http://www.dy20*4.com/msn/mm.txt”,读取相应的配置信息,然后进行下载其它恶意程序以及在被感染计算机上打开指定挂马页面的恶意操作,从而给被感染系统用户造成不同程度的损失。“U盘寄生虫”变种jwc可通过移动存储设备及网上邻居进行传播,其会在可移动存储设备的根目录下创建“..\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe”,同时生成“autorun.inf”文件,从而达到了利用系统自动播放功能激活病毒的目的。通过自带的密码表对存在弱口令的计算机进行连接,一旦连接成功,便会将自身复制到这些计算机的“C:\”根目录下,重新命名为“bootfont.exe”,并且通过建立计划任务的方式将其激活。“U盘寄生虫”变种jwc还会对部分扩展名为“.exe”的文件进行感染,被感染的程序会被江民杀毒软件检测出“Win32/Dropper.l”(“病毒释放器”变种l)。同时还会感染部分“.asp”、“.htm”、“.html”及“.aspx”文件,其会在这些文件中插入连接至挂马页面的代码。另外,“U盘寄生虫”变种jwc会解压检查被感染系统存储的“.RAR”文件中是否存在以上扩展名的文件,如果存在便会执行上述感染操作,从而给用户造成更多的威胁。
英文名称:Win32/Dropper.l
中文名称:“病毒释放器”变种l
病毒长度:23552字节
病毒类型:Windows病毒
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:35db985e312f22cc6ead0a4a5f2d0a2d
特征描述:
Win32/Dropper.l“病毒释放器”变种l是“病毒释放器”家族中的最新成员之一,通常为正常可执行文件被其它病毒所感染而形成。“病毒释放器”变种l运行后,会在临时文件夹下释放恶意程序“tem81.exe”(TrojanDropper.Agent.aaxa),并复制到“%SystemRoot%\system32\dllcache\”文件夹下重新命名为“systembox.bak”,文件属性设置为“系统、隐藏、只读”。“病毒释放器”变种l运行时,会感染用户计算机中扩展名为“.exe”、“.asp”、“.htm”、“.html”、“.aspx”及“.RAR”的文件,同时下载其它的恶意程序、关闭并禁用大量安全软件,以及通过网上邻居和移动存储设备进行传播,从而给用户造成不同程度的威胁。
赞助商链接