江民5.9病毒播报:代理木马和QQ大盗变种

5/9/2009来源:病毒数据库人气:4204

  江民今日提醒您注意:在今天的病毒中Trojan/Agent.bxxu“代理木马”变种bxxu和Trojan/PSW.QQPass.vvy“QQ大盗”变种vvy值得关注。

  英文名称:Trojan/Agent.bxxu
  中文名称:“代理木马”变种bxxu
  病毒长度:24576字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:9b43a5daf99f034c7be7044068bddfd8
  特征描述:
  Trojan/Agent.bxxu“代理木马”变种bxxu是“代理木马”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“代理木马”变种bxxu运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“jydk.exe”(文件属性为“系统、隐藏”)。在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在,便会通过调用批处理指令等方式来试图结束这些安全软件的运行,从而达到了自我保护的目的。“代理木马”变种bxxu运行时,会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://jueyeshen.33*.org”,读取配置文件,并根据配置文件中的设置对指定的ip地址及端口不断发送连接请求,以此进行DDos攻击,大大地消耗了被攻击计算机的网络带宽和系统资源,致使被攻击者蒙受不同程度的损失。同时,“代理木马”变种bxxu还会根据配置文件下载恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多不同程度的威胁。“代理木马”变种bxxu会在被感染计算机中注册名为“jydk”的系统服务,以此实现木马的开机自启。

  英文名称:Trojan/PSW.QQPass.vvy
  中文名称:“QQ大盗”变种vvy
  病毒长度:47048字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:7d4b2a035a10a74eeacc1adc15992d6f
  特征描述:
  Trojan/PSW.QQPass.vvy“QQ大盗”变种vvy是“QQ大盗”盗号木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“QQ大盗”变种vvy是一个通过弹出仿冒“QQ”中奖消息窗口来诱骗用户上当,从而实施网络诈骗的木马程序。“QQ大盗”变种vvy运行后,会将恶意代码注入到“explorer.exe”进程中隐密运行。遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在时,便会尝试将其结束。利用文件映像劫持功能,干扰安全软件的正常运行,从而使得系统失去安全软件的防护,增加了遭受病毒侵害的风险。“QQ大盗”变种vvy运行时,会在系统托盘区域模仿“QQ”广播的“喇叭”图标闪烁,用户点击后将弹出虚假的中奖提示窗口,进一步地将用户引导至钓鱼网站“http://qq10000*qq.com.cn”的指定页面并实施诈骗。同时,该网站可能还存在网页挂马等恶意行为,从而使得被感染计算机用户面临更多的威胁。“QQ大盗”变种vvy还会向骇客指定的站点“http://www.dgrgds*.cn/install.asp”反馈用户的感染情况及计算机信息,并会通过在注册表启动项中添加键值“QQ10000”的方式来实现开机后的自动运行。