江民3.18病毒播报:乱飞虫和卡拉蜜变种病毒

3/18/2009来源:病毒数据库人气:2574

  江民今日提醒您注意:在今天的病毒中Worm/Runfer.d“乱飞虫”变种d和Packed.Krap.enj“卡拉蜜”变种enj值得关注。

  英文名称:Worm/Runfer.d
  中文名称:“乱飞虫”变种d
  病毒长度:293064字节
  病毒类型:蠕虫
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:4aad96bcd037a8da974dfc092f1b0c8c
  特征描述:
  Worm/Runfer.d“乱飞虫”变种d是“乱飞虫”蠕虫家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“乱飞虫”变种d运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“usrelnkat.exe”。创建“iexplorer.exe”进程,将恶意代码注入其内存空间中隐密运行。在被感染计算机系统的后台连接骇客指定的远程服务器站点,读取配置文件“http://www.vod*.cn/xiaoweideyeye.txt”,并根据其中的信息与骇客指定的控制端进行连接。一旦连接成功,则被感染的计算机便会沦为骇客的傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意的操作,其中包括:文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、视频监控等,给被感染计算机用户的个人隐私甚至是商业机密均会造成不同程度的侵害。同时,骇客还可以向傀儡主机发送大量的恶意程序,致使被感染计算机用户面临更多不同程度的威胁。“乱飞虫”变种d可通过移动存储设备进行自我传播。其会监视被感染系统中新插入的移动存储设备,一旦有移动存储设备接入时,便会在其根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫病毒“usrelnkat.exe”,以此实现双击盘符后激活自身,从而达到利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的,致使用户面临更多的风险。“乱飞虫”变种d的原程序在运行完毕后会将自身删除,以此达到了消除痕迹的目的。另外,“乱飞虫”变种d会在被感染计算机中注册名为“RCManagerg”的系统服务,从而实现了蠕虫的开机自启。

  英文名称:Packed.Krap.enj
  中文名称:“卡拉蜜”变种enj
  病毒长度:154135字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:e53c6641070274de3a0ca637cff48938
  特征描述:
  Packed.Krap.enj“卡拉蜜”变种enj是“卡拉蜜”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“卡拉蜜”变种enj运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“kvosoft.exe”。同时还会在相同目录和“%SystemRoot%\system32\drivers\”目录下分别释放恶意DLL功能组件和恶意驱动程序,并将这些文件的属性设置为“系统、只读、隐藏”。试图绕过部分安全软件的主动防御系统,结束部分安全软件的运行。将恶意代码注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。“卡拉蜜”变种enj是一个盗取“地下城与勇士”、“冒险岛oline”、“十二之天貳online”、“苍天”、“精灵2”等网络游戏账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行的指定游戏进程。一旦发现指定进程的存在,便会通过键盘钩子等方式盗取网络游戏玩家的游戏账号、游戏密码、角色等级、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备等丢失,给游戏玩家造成了不同程度的损失。同时,该木马还能通过U盘等可移动存储设备进行传播,并可连接骇客指定的站点进行恶意程序的下载和自升级,致使被感染计算机用户面临更多的风险。另外,“卡拉蜜”变种enj会在注册表启动项中添加新键“kvasoft”,以此实现木马的开机自动运行。