江民12.27病毒播报:隐形贼和QQ秀病毒变种

12/27/2008来源:病毒数据库人气:3117

  江民今日提醒您注意:在今天的病毒中Trojan/Delux.h“隐形贼”变种h和Trojan/PSW.QQShou.id“QQ秀”变种id值得关注。

  英文名称:Trojan/Delux.h
  中文名称:“隐形贼”变种h
  病毒长度:58928字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003

  Trojan/Delux.h“隐形贼”变种h是“隐形贼”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“隐形贼”变种h运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“myname5.exe”。在相同目录和“%SystemRoot%\system32\drivers\”目录下分别释放恶意DLL功能组件和恶意驱动文件,文件属性设置为“系统、隐藏”。将DLL组件注入到系统进程“lsass.exe”中加载运行,隐藏自我,防止被查杀。将病毒副本注册为系统服务,以此实现木马开机自动运行。运行后,在指定的目录下生成配置文件,并调用之前释放的恶意驱动程序来进行病毒文件及其进程、注册表项目的隐藏,防止了被用户和杀毒软件轻易地发现,提高了木马自身的生存几率。在后台监视系统中的移动存储设备,如果发现有新的移动存储设备接入时,便会向其中复制“隐形贼”变种h的副本和自动运行配置文件。同时,还会向除了系统分区之外的所有分区复制这些恶意文件,企图利用系统的自动运行特性来达到病毒传播的目的。另外,“隐形贼”变种h会自我删除,从而达到了消除痕迹的目的。

  英文名称:Trojan/PSW.QQShou.id
  中文名称:“QQ秀”变种id
  病毒长度:16548字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003

  Trojan/PSW.QQShou.id“QQ秀”变种id是“QQ秀”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“QQ秀”变种id运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,并重新命名为“ravseteni.exe”。同时,还会在相同的目录中释放木马配置文件和运行时所需要的库文件。“QQ秀”变种id是一个专门盗取即时聊天工具“腾讯QQ”账号信息的木马程序,会在被感染计算机的后台秘密监视“腾讯QQ”的登陆窗口,一旦发现“QQ”程序启动时,便会利用键盘钩子、内存截取或封包截取等技术盗取用户所输入的账号信息,并在后台将窃取到的用户机密信息发送到骇客指定的邮箱中,给“腾讯QQ”的用户造成了不同程度的损失。同时,“QQ秀”变种id在运行时,还会遍历被感染系统中运行的所有进程,如果发现某些指定的安全软件存在时,就会尝试将其强行关闭,从而达到了自我保护的目的。另外,“QQ秀”变种id通过修改系统注册表启动项来实现木马的开机自动运行。