江民5.22病毒播报:Hosts劫持者和QQ大盗

5/22/2009来源:病毒数据库人气:4258

  江民今日提醒您注意:在今天的病毒中Trojan/Qhost.gt“Hosts劫持者”变种gt和Trojan/PSW.QQPass.vxf“QQ大盗”变种vxf值得关注。

  英文名称:Trojan/Qhost.gt
  中文名称:“Hosts劫持者”变种gt
  病毒长度:158970字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:8b545ec15532cbb70e1fac9ee096850d
  特征描述:
  Trojan/Qhost.gt“Hosts劫持者”变种gt是“Hosts劫持者”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“Hosts劫持者”变种gt运行后,会在被感染计算机系统的“%SystemRoot%\system32\drivers\etc\”目录下释放8位随机字符的恶意DLL组件“*.dll”,修改文件的时间属性(“创建时间”和“修改时间”)为系统安装日期,以此迷惑用户,从而达到了更好的隐藏效果。同时,还会在“%SystemRoot%\system32\”目录下释放文件“acJmcbMRE6.ini”作为感染过此木马的标记。“Hosts劫持者”变种gt运行时,会通过“svchost.exe”调用运行恶意DLL组件。不断尝试与控制端(地址为:http://5731.33*.org:8800)进行连接,一旦连接成功,则被感染的计算机便会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作,其中包括:文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等,给用户的个人隐私甚至是商业机密造成了严重的侵害。同时,骇客还可以向傀儡主机发送大量的恶意程序,致使用户面临更加严重的威胁。“Hosts劫持者”变种gt会在被感染计算机中注册与系统服务同名的服务项“Clipsrv”,从而实现了木马的开机自启。其中,服务显示名称为“ClipBook”,描述为“剪贴簿查看器”,以此迷惑了用户。

  英文名称:Trojan/PSW.QQPass.vxf
  中文名称:“QQ大盗”变种vxf
  病毒长度:46956字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:4a7ae605cc263b379a3245a610cc58b0
  特征描述:
  Trojan/PSW.QQPass.vxf“QQ大盗”变种vxf是“QQ大盗”盗号木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理,是一个通过弹出仿冒的“QQ”中奖消息窗口来诱骗用户上当,从而实施网络诈骗的木马程序。“QQ大盗”变种vxf运行后,会将恶意代码注入到“explorer.exe”进程中隐密运行。在被感染系统的后台遍历当前系统中所有运行的进程,一旦发现指定的安全软件存在,便会尝试将其结束。还会利用系统的映像劫持功能干扰大量安全软件的正常运行,致使用户的系统失去保护。“QQ大盗”变种vxf运行时,会在系统托盘区域模拟“QQ”广播的图标闪烁。用户点击后将会弹出提示中奖的仿冒“QQ”广播窗口,并进一步的将用户引导至钓鱼网站“http://qw*tx.cn/”中实施进一步的诈骗。该站点还可能存在网页挂马等恶意行为,从而使得用户面临更多的威胁。同时,“QQ大盗”变种vxf还会连接骇客指定的URL“http://www.gkhfff*.cn/shijian/install.asp”进行感染情况以及计算机信息的反馈。另外,其会在系统注册表启动项中添加键值“QQ7677”,以此实现了木马的开机自动运行。