江民2.24病毒播报:毒码机和QQ大盗变种病毒

2/24/2009来源:病毒数据库人气:2572

  江民今日提醒您注意:在今天的病毒中TrojanDropper.KGen.gvz“毒码机”变种gvz和Trojan/PSW.QQPass.uvd“QQ大盗”变种uvd值得关注。

  英文名称:TrojanDropper.KGen.gvz
  中文名称:“毒码机”变种gvz
  病毒长度:234633字节
  病毒类型:木马释放器
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:684232e85631ad26f5246e0316ce143f
  特征描述:
  TrojanDropper.KGen.gvz“毒码机”变种gvz是“毒码机”木马释放器家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“毒码机”变种gvz运行后,会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\IXP*.TMP\”目录下释放文件“xf-acad9-32-BITS.exe”和“autocad.exe”。其中,“xf-acad9-32-BITS.exe”是“AutoCAD 2009”的注册机,而“autocad.exe”则是一个木马程序。该木马运行后,会在被感染计算机系统的临时文件夹下释放一个支持后台传输功能的文件,并开启被感染计算机中的“BITS”(后台智能传输)服务,利用批处理命令,连接骇客指定的URL“http://xxxlexe***k.com/pathexe.php”,下载恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多不同程度的风险。另外,“毒码机”变种gvz所释放的病毒文件在执行完毕后都会被删除,以此消除痕迹,提高了木马自身的生存几率。可是当用户再次使用这个捆绑有木马的“注册机”时,又会导致被病毒所感染,从而继续对系统构成威胁和破坏。

  英文名称:Trojan/PSW.QQPass.uvd
  中文名称:“QQ大盗”变种uvd
  病毒长度:49272字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:f1e394f6dcb465583661879de50f4bd3
  特征描述:
  Trojan/PSW.QQPass.uvd“QQ大盗”变种uvd是“QQ大盗”木马家族中的最新成员之一,采用“Borland Delphi 5.0”编写,并且经过加壳保护处理。“QQ大盗”变种uvd是一个利用“QQ”实施网络钓鱼的木马,通过弹出仿冒的QQ中奖消息窗口来诱骗用户上当,从而进行网络诈骗。“QQ大盗”变种uvd运行时,会将恶意代码注入到“explorer.exe”进程中隐蔽运行,隐藏自我,防止被轻易地发现和查杀。遍历当前系统中运行的所有进程,一旦发现指定的安全软件存在,便会尝试将其结束。修改系统注册表,利用映像劫持特性阻止安全软件的正常启动,致使用户的计算机系统失去安全软件的保护。“QQ大盗”变种uvd运行后,会在系统托盘模仿出“QQ”广播闪烁的图标。当用户点击后便会弹出仿冒的窗口提示用户中奖,并进一步将用户引至钓鱼网站“http://www.qq.com.inde**.cn/”中进行下一步的诈骗。同时,该网站还可能会存在网页挂马等恶意行为,致使用户可能蒙受更多不同程度的损失。另外,“QQ大盗”变种uvd会通过修改注册表启动项的方式实现开机自启。