江民3.28病毒播报:初始页和伪颗粒变种

3/28/2009来源:病毒数据库人气:2896

  江民今日提醒您注意:在今天的病毒中Trojan/StartPage.bfg“初始页”变种bfg和Trojan/Vaklik.axm“伪颗粒”变种axm值得关注。

  英文名称:Trojan/StartPage.bfg
  中文名称:“初始页”变种bfg
  病毒长度:37376字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:7aa9395913b8d3396fe24c1c6ad3d5a7
  特征描述:
  Trojan/StartPage.bfg“初始页”变种bfg是“初始页”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“初始页”变种bfg运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“dNZsOC.dll”,在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“sqmql.sys”,并修改上述文件的时间属性(“创建时间”和“修改时间”)为系统安装日期,以此迷惑用户,达到了更好的隐藏效果。将释放的恶意DLL组件以及驱动程序插入到系统进程中加载运行,增强了进程的隐蔽性,从而防止被轻易地发现。“初始页”变种bfg会强行篡改IE浏览器的属性和桌面IE快捷方式,设置IE浏览器默认主页为骇客指定站点“www.67*.cn”,致使用户在打开IE浏览器后便会自动连接至该站点,为其增加了访问量,从而给骇客带来了不法的经济利益。“初始页”变种bfg还可能搜集用户的信息,由此造成了用户隐私的泄露。同时,该木马还会连接骇客指定的URL“http://www.buyaohenc*ng.com.cn/api.php”和“http://www.woyaochidon*i.com.cn/update.php”进行自身的更新和下载其它恶意程序等行为,从而给用户造成更大程度的侵害。“初始页”变种bfg的主程序在安装完毕后会将自我删除,从而达到了消除痕迹的目的。另外,其会通过将驱动注册为系统服务的方式实现木马的开机自启。

  英文名称:Trojan/Vaklik.axm
  中文名称:“伪颗粒”变种axm
  病毒长度:194945字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:6513f8803d93e45e36b45825c1bc5eb2
  特征描述:
  Trojan/Vaklik.axm“伪颗粒”变种axm是“伪颗粒”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“伪颗粒”变种axm运行后,会先在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“klif.sys”或“cdaudio.sys”,然后会将自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“kxvo.exe”。同时,还会在该目录下释放恶意DLL组件“wedasgads*.dll”和“dse235rgd*.dll”,并将这些DLL组件注册成名为“IEHlPRObj”的浏览器辅助对象,以此实现恶意推广某些指定网站的目的,使得不法分子从中获利,也干扰了用户对计算机的正常使用。“伪颗粒”变种axm运行时,会将恶意代码注入到系统的“explorer.exe”进程中加载运行,以此隐藏自我,防止被轻易地查杀。强行篡改注册表相关键值,破坏“显示系统隐藏文件”功能,并开启系统中所有驱动器的自动播放功能,为实现其通过移动设备等进行传播创造了条件。“伪颗粒”变种axm是一个盗取“冒险岛Online”、“十二之天貳Online”、“苍天”、“天堂2”等网络游戏账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行的指定游戏进程。一旦发现指定进程的存在,便会通过键盘钩子等手段盗取网络游戏玩家的游戏账号、游戏密码、金钱数量、仓库密码等信息,并将窃得的信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。“伪颗粒”变种axm会通过在系统注册表启动项中添加键值“kxva”的方式来实现木马的开机自动运行。