江民3.12病毒播报:AV杀手和QQ大盗变种

3/12/2009来源:病毒数据库人气:4486

  江民今日提醒您注意:在今天的病毒中Trojan/KillAV.yk“AV杀手”变种yk和Trojan/PSW.QQPass.uzf“QQ大盗”变种uzf值得关注。

  英文名称:Trojan/KillAV.yk
  中文名称:“AV杀手”变种yk
  病毒长度:53292字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:636a08d8977e166255003557c0aa232e
  特征描述:
  Trojan/KillAV.yk“AV杀手”变种yk是“AV杀手”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“AV杀手”变种yk运行后,会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放恶意DLL组件“dll*.dll”(包含随机的三位数),在“%SystemRoot%\system32\”目录下释放恶意文件“appwinproc.dll”、“Nskhelper2.sys”和“nsPass*.sys”等。创建“svchost.exe”进程,并将自身代码注入其中隐密运行,从而实现自我的隐藏,防止被轻易地查杀。监视当前系统中的进程,如果发现有调试工具的进程存在,便会自动退出。利用释放的恶意驱动程序,以多种方式干扰安全软件的运行,致使用户的计算机系统失去安全软件的保护。利用操作系统文件映像劫持特性,干扰大量安全软件、系统工具的正常运行。另外,还会通过篡改系统“hosts”文件的方式屏蔽大量安全软件厂商的站点,从而阻止用户对这些网站的访问,进一步地提升了自身的生存几率。“AV杀手”变种yk会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://vvv.ccc***bbb.cn”,读取配置文件“../number/list.txt”,下载大量的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使被感染计算机用户面临不同程度的风险。另外,“AV杀手”变种yk会在被感染计算机系统所有分区的根目录下创建“autorun.inf”(自动播放配置文件)和木马程序,并将这些文件的属性设置为“系统、隐藏、只读、存档“,以此实现双击盘符激活木马的目的,从而达到了利用硬盘、U盘等存储设备进行自我传播的目的,给被感染计算机用户造成更多的威胁。

  英文名称:Trojan/PSW.QQPass.uzf
  中文名称:“QQ大盗”变种uzf
  病毒长度:48548字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:b806903fea0ecd78991d5f091dc42f43
  特征描述:
  Trojan/PSW.QQPass.uzf“QQ大盗”变种uzf是“QQ大盗”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“QQ大盗”变种uzf是一个通过弹出伪装的“QQ”中奖消息窗口来诱骗用户上当,从而实施网络诈骗的木马程序。“QQ大盗”变种uzf运行后,会将恶意代码注入到“explorer.exe”进程中隐密运行。遍历当前系统中所有运行的进程,一旦发现指定的安全软件正在运行,便会尝试将其结束,致使被感染计算机用户失去安全软件的保护。修改注册表,利用操作系统文件映像劫持特性,干扰大量安全软件的正常运行。“QQ大盗”变种uzf运行时,会在系统托盘区域模仿闪动的“QQ”广播图标。当用户点击该图标后,会弹出提示用户中奖的窗口,并进一步将用户引导至钓鱼网站“http://www.qq.com.qq**m.cn/”实施进一步的诈骗。同时,该恶意网站可能还会存在网页挂马等恶意行为,从而致使被感染计算机用户面临更多不同程度的风险。另外,“QQ大盗”变种uzf会通过在注册表启动项中添加键值“QQ”的方式来实现木马的开机自动运行。