江民3.10病毒播报:焦点间谍和代理木马变种

3/10/2009来源:病毒数据库人气:2427

  江民今日提醒您注意:在今天的病毒中TrojanSpy.Pophot.clh“焦点间谍”变种clh和TrojanSpy.Agent.dnz“代理木马”变种dnz值得关注。

  英文名称:TrojanSpy.Pophot.clh
  中文名称:“焦点间谍”变种clh
  病毒长度:126107字节
  病毒类型:间谍木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:ca287e40325206884b2938618240d8c1
  特征描述:
  TrojanSpy.Pophot.clh“焦点间谍”变种clh是“焦点间谍”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“焦点间谍”变种clh运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system\”和“%SystemRoot%\system32\inf”目录下,并分别重新命名为“sgcxcxxaspf090104.exe”和“sppdcrs090104.scr”。同时,还会在“%SystemRoot%\”目录下释放恶意DLL组件“dcbdcatys32_090104a.dll”和“wftadfi16_090104a.dll”。在被感染计算机的后台遍历当前系统中所有运行的进程,一旦发现指定的安全软件存在,便会尝试通过强行篡改系统日期、调用批处理指令等方式试图结束这些安全软件的运行。同时,还会通过鼠标点击模拟以及向窗口对象发送消息等方式绕过系统监控功能的监视,从而达到自我保护的目的,提高了自身的生存几率。强行篡改IE浏览器首页,以此提高某些网站的访问量和插件安装量,为骇客带来了非法的经济利益。“焦点间谍”变种clh在运行时会占用大量的系统资源,降低了系统运行速度,严重地影响和干扰了用户对计算机系统的正常操作。“焦点间谍”变种clh还会在可移动存储设备的根目录下创建“autorun.inf”(自动播放配置文件)和木马文件,从而达到利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的,给被感染计算机用户造成了更多的威胁。“焦点间谍”变种clh还具有自动更新功能,会根据骇客指定站点上的配置文件“http://www.fhd**fh.cn/list.htm”进行自升级。同时还会根据配置信息下载其它的恶意程序,致使被感染计算机用户面临更多不同程度的风险。另外,“焦点间谍”变种clh会在被感染计算机系统注册表启动项中添加键值“maincyucst”,以此实现木马的开机自动运行。

  英文名称:TrojanSpy.Agent.dnz
  中文名称:“代理木马”变种dnz
  病毒长度:43520字节
  病毒类型:间谍木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:8a8e369b1d2ff5ed4d58fb1ffdb93744
  特征描述:
  TrojanSpy.Agent.dnz“代理木马”变种dnz是“代理木马”家族中的最新成员之一,采用“Delphi”语言编写。“代理木马”变种dnz运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“l1nks.dll”。创建“cmd.exe”进程,并将恶意代码注入其中隐密运行,防止被轻易地发现和查杀。向指定站点发动DDos攻击,大大地消耗了被攻击计算机的网络带宽和系统资源,从而为其造成了不同程度的损失。在后台连接骇客指定的远程服务器站点,下载恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“代理木马”变种dnz的主程序在安装完毕后会将自身删除,从而达到了消除痕迹的目的。另外,“代理木马”变种dnz还会在被感染计算机中注册名为“Linksfor”的系统服务,以此实现木马的开机自启。