江民4.16病毒播报:键盘终结者和克隆先生

4/16/2009来源:病毒数据库人气:4457

  江民今日提醒您注意:在今天的病毒中TrojanSpy.KeyLogger.aii“键盘终结者”变种aii和Packed.Klone.yi“克隆先生”变种yi值得关注。

  英文名称:TrojanSpy.KeyLogger.aii
  中文名称:“键盘终结者”变种aii
  病毒长度:90112字节
  病毒类型:间谍木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:59daf73a2bbb4bb428d9a0305e6f07a8
  特征描述:
  TrojanSpy.KeyLogger.aii“键盘终结者”变种aii是“键盘终结者”间谍木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“键盘终结者”变种aii运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“SevenSowrdSvr.exe”和“SysSevenSowrd.exe”。同时,还会在相同目录下释放恶意驱动程序“sevenlog.sys”,并生成日志文件“sevenlog.txt”,以此记录程序的运行状态。“键盘终结者”变种aii运行时,会将恶意代码注入到新创建的“svchost.exe”进程中隐密运行,从而防止被轻易地查杀。在被感染计算机的后台秘密监视用户打开的所有窗口的标题,一旦发现带有“银行”、“支付”、“财付通”等关键字的窗口便开始记录键击。该木马具有普通的键盘记录功能,以及驱动级的按键监视能力,即使是一些受保护的键盘输入也会被记录。该木马会窃取用户输入的机密信息,将当前的键盘操作、窗口标题、时间等信息记录到指定的文件中,并在后台将记录的内容发送到骇客指定的邮箱里(地址加密存放),从而给被感染计算机用户造成了不同程度的损失。另外,“键盘终结者”变种aii会通过在注册表启动项中添加键值“SevenSowrd”和注册系统服务“SevenSWord”的方式实现木马的开机自动运行。

  英文名称:Packed.Klone.yi
  中文名称:“克隆先生”变种yi
  病毒长度:655872字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:d30dbbbb9242b7265a9f34238f0a1df9
  特征描述:
  Packed.Klone.yi“克隆先生”变种yi是“克隆先生”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“克隆先生”变种yi运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放随机文件名的恶意DLL组件。反向连接骇客的控制端(wongmen.meibu.org:13620),一旦连接成功,则被感染的计算机便会沦为骇客的傀儡主机。“克隆先生”变种yi会在被感染计算机的后台秘密窃取用户当前系统的敏感信息,并在后台将窃得的信息发送到骇客指定的服务器上,从而给用户的隐私造成不同程度的侵害。该木马还可以从骇客指定的站点上下载恶意程序并调用运行,其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“克隆先生”变种yi会控制被感染计算机的音频设备,还会操作鼠标进行模拟按键操作,从而绕过某些主动防御软件的警告。另外,“克隆先生”变种yi会在被感染计算机中注册名为“.Net CLR”的系统服务,以此实现木马的开机自启。