江民21日病毒播报:注意千足虫与放毒器变种

3/21/2008来源:病毒数据库人气:3029

  北京网络行业协会、江民科技联合发布03月21日病毒播报:Win32/Kdcyy.cb“千足虫”变种cb和TrojanDownloader.Mypay.b“放毒器”变种b值得关注。

  病毒名称:Win32/Kdcyy.cb

  中 文 名:“千足虫”变种cb(又名“磁碟机”)

  病毒长度:93696字节

  病毒类型:蠕虫

  危险级别:★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  Win32/Kdcyy.cb“千足虫”变种cb是“千足虫”家族的最新成员之一,采用VC++ 6.0编写, 并经过加壳保护处理。“千足虫”变种cb运行后,自我复制到系统盘根目录下,文件名随机生成。利用驱动程序来恢复SSDT Hook,使某些安全软件的监控失效。强行关闭大部分杀毒软件和安全工具软件。被感染计算机系统会经常死机或长时间卡住不动。利用“ARP病毒”在局域网中进行自我传播。感染除系统盘外所有盘符下的EXE可执行文件、网页文件、RAR和Zip压缩包中的文件等(加密感染),感染后的程序变为16位的图标,图标变模糊,类似于马赛克。一旦发现与安全相关的窗口存在,强行将其关闭。在所有盘符下生成“autorun.inf”和病毒体,并且对这些文件进行实时检测保护,利用移动设备进行传播。破坏注册表,致使用户无法进入“安全模式”、无法查看隐藏的系统文件,致使注册表启动项失效。修改注册表,实现开启自动播放的功能。强行删除所有安全软件的关联注册表项,使其无法开启监控。利用进程守护技术,将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联,实现进程守护,一旦病毒文件被删除或被关闭,便马上生成并重新运行。以系统级权限运行,部分进程使用了进程保护技术。利用控制台命令来设置病毒程序文件的访问运行权限。利用了关机回写技术,在关闭计算机时把病毒主程序体保存到[启动]文件夹中,实现开机自启动。另外,“千足虫”变种cb还可以自升级。

  病毒名称:TrojanDownloader.Mypay.b

  中 文 名:“放毒器”变种b

  病毒长度:10752字节

  病毒类型:木马下载器

  危害等级:★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  TrojanDownloader.Mypay.b“放毒器”变种b是“放毒器”木马下载器家族的最新成员之一,采用Delphi语言编写,并经过加壳处理。“放毒器”变种b运行后,在被感染计算机的后台调用系统IE浏览器“iexplore.exe”进程,并把恶意可执行代码注入到其中,通过系统IE浏览器“iexplore.exe”进程连接骇客指定远程服务器站点“http://x**m.***p.*c/”,下载恶意程序并自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给用户带来不同程度的损失。修改注册表,实现木马下载器开机自动运行。另外,“放毒器”变种b还具有躲避部分防火墙监控的功能,大大降低了被感染计算机上的安全性。