江民7.8病毒播报:罗锅虫和魅魔变种病毒
2009-07-08 20:37:11 来源:WEB开发网江民今日提醒您注意:在今天的病毒中Worm/Anilogo.a“罗锅虫”变种a和Trojan/MMM.ex“魅魔”变种病毒值得关注。
英文名称:Worm/Anilogo.a
中文名称:“罗锅虫”变种a
病毒长度:28000字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
md5 校验:3c9b3a299cbe16ae7ad6ab3e808ee1f5
特征描述:
Worm/Anilogo.a“罗锅虫”变种a是“罗锅虫”蠕虫家族中的成员,采用高级语言编写。“罗锅虫”变种a运行后,会自我复制到被感染系统的“%SystemRoot%\fonts\syn00-0c-29-6b-d5-d7\system\”目录下,重新命名为“smss.exe”,文件属性设置为“系统、隐藏”。同时,修改文件的时间属性(“创建时间”和“修改时间”)来迷惑用户,从而达到了更好的隐藏效果。“罗锅虫”变种a运行时,会创建注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\GoogleBA”。修改系统当前所使用的光标,还会利用文件映像劫持功能干扰大量安全软件、系统工具以及一些其它应用程序的正常运行,从而达到了自我保护的目的。在被感染系统的所有分区根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫主程序文件“ntldr.exe”(“罗锅虫”变种a),设置文件属性为“系统、隐藏”,以此实现双击盘符后激活蠕虫,从而达到了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的,给计算机用户造成了更多的威胁。
“罗锅虫”变种a会感染系统中最后一个磁盘分区中的“.exe”文件,并将恶意代码添加到“.exe”文件的尾部。被感染文件的长度增加了28800字节,同时会被江民杀毒软件检测出感染了“Win32/alaQQ.28800”病毒。但是,对于一些特定名称的文件和文件夹以及磁盘分区根目录下的文件,“罗锅虫”变种a不会进行感染。“罗锅虫”变种a还会在被感染系统的后台连接骇客指定的远程服务器站点“http://dow2.boy*x.us/”,获取恶意程序下载列表“xxx.txt”,然后下载该文件中指定的恶意程序。同时,还会下载其它站点上的恶意程序(例如“http://k.kk*c.us/xxx.jpg”、“http://s.987*5.com/10074.exe”)并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序等,致使用户面临更多的威胁。“罗锅虫”变种a会通过弹出IE窗口并打开网址“http://a.x*360.info/109/tj.htm”的方式进行感染情况统计、增加网络流量或者传播网页木马的恶意行为。另外,“罗锅虫”变种a病毒会在被感染系统注册表启动项中添加键值“TBMonEx”,以此实现蠕虫的开机后自动运行。
英文名称:Trojan/MMM.ex
中文名称:“魅魔”变种ex
病毒长度:96295字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:e173ef0c5ea1d73a266855bb429a0e51
特征描述:
Trojan/MMM.ex“魅魔”变种ex病毒是“魅魔”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,是一个由其它恶意程序释放出来的DLL功能组件。“魅魔”变种ex运行后,会在被感染系统的“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“beep.sys”。不断尝试与控制端(地址为:bbwh.vi*p.net:80)进行连接,一旦连接成功,则被感染的计算机就会沦为骇客的傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作(控制操作包括但不限于文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、鼠标控制、视频监控等),会给用户的个人隐私甚至是商业机密造成不同程度的损失。同时,骇客还可以向傀儡主机发送大量的恶意程序,从而对用户的信息安全构成更加严重的威胁。另外,“魅魔”变种ex病毒会以系统服务的方式实现开机自启。
赞助商链接