江民5.13病毒播报:U盘寄生虫和代理木马

5/13/2009来源:病毒数据库人气:4176

  江民今日提醒您注意:在今天的病毒中Worm/AutoRun.gkq“U盘寄生虫”变种gkq和TrojanDropper.Agent.spj“代理木马”变种spj值得关注。

  英文名称:Worm/AutoRun.gkq
  中文名称:“U盘寄生虫”变种gkq
  病毒长度:16896字节
  病毒类型:蠕虫
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:f16021cd7bea000a46fd7b730ddde2a4
  特征描述:
  Worm/AutoRun.gkq“U盘寄生虫”变种gkq是“U盘寄生虫”蠕虫家族中的最新成员之一,采用“Microsoft Visual C++ 7.0”编写,经过加壳保护处理,一般会被插入到“explorer.exe”等进程中加载运行。“U盘寄生虫”变种gkq运行后,会将自身复制到“c:\PRogram files\common files\microsoft shared\”下,重新命名为“msshared.exe”。在被感染计算机系统的后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。监视其所创建的服务“messenger”,从而使得自身不被终止运行。监视系统弹出的“Windows 文件保护”窗口,一旦发现弹出就会将其关闭,从而使得替换系统文件的恶意行为不被用户所发现。“U盘寄生虫”变种gkq运行时,会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://liu.tbhelper.cn/”,下载恶意程序“hehe.htm”并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。同时,还会连接远程站点“drs*nbo2.gn*ay.net:8284”,读取服务器端的指令,并通过在被感染计算机上建立“telnet”连接的方式进行木马下载等恶意操作,从而给用户造成更加严重的侵害。“U盘寄生虫”变种gkq还会在所有驱动器以及新接入的移动存储设备根目录下创建“autorun.inf”(自动播放配置文件)和病毒文件“sxs3.exe”,以此实现双击盘符后激活蠕虫的目的,从而达到了利用存储设备进行自我传播的目的。

  英文名称:TrojanDropper.Agent.spj
  中文名称:“代理木马”变种spj
  病毒长度:22016字节
  病毒类型:木马释放器
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:82ed993aeb8474e8b6a650512dbab1de
  特征描述:
  TrojanDropper.Agent.spj“代理木马”变种spj是“代理木马”木马释放器家族中的最新成员之一,采用高级语言编写。“代理木马”变种spj运行后,会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放恶意DLL组件“qrqwerwqer.dll”,设置文件属性为“系统、隐藏”。通过注册表获取指定游戏程序的安装目录,复制系统正常DLL组件“LPK.dll”到游戏目录下,重新命名为“DnfText.dll”,同时释放仿冒的DLL组件“LPK.dll”到游戏目录下,以此实现了随游戏的启动而自动加载运行。“代理木马”变种spj是一个专门盗取网络游戏“地下城与勇士”会员账号的木马程序,启动后会首先确认自身是否已经被插入到指定游戏进程中。一旦插入成功,便会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的这些机密信息发送到骇客指定的远程服务器站点“http://vvv.q*chisi.cn/dd”上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“代理木马”变种spj在安装完毕后会将自身移动到“%USERPROFILE%\Local Settings\Temp\”目录下并重新命名保存,以此达到了消除痕迹的目的。