江民5.31病毒播报:代理木马和QQ大盗变种

5/31/2009来源:病毒数据库人气:4276

  江民今日提醒您注意:在今天的病毒中TrojanDropper.Agent.vus“代理木马”变种vus和Trojan/PSW.QQPass.vwe“QQ大盗”变种vwe值得关注。

  英文名称:TrojanDropper.Agent.vus
  中文名称:“代理木马”变种vus
  病毒长度:62237字节
  病毒类型:木马释放器
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:2912d3d8f2fc6e5f1be832938d39ab78
  特征描述:
  TrojanDropper.Agent.vus“代理木马”变种vus是“代理木马”木马释放器家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,并且经过加壳保护处理。“代理木马”变种vus运行后,会将“%SystemRoot%\system32\”目录下的系统输入法管理程序“ctfmon.exe”重新命名为“ctmon.exe”,然后会在相同目录中释放恶意程序“ctfmon.exe”和“war.exe”,在“%SystemRoot%\fonts”目录下释放恶意程序“smss.exe”,在“C:\PRogram Files\Internet Explorer\”目录下释放恶意程序“Piplayer.exe”。“代理木马”变种vus在安装完成后会将自我删除,以此消除痕迹。“代理木马”变种vus运行时,会关闭系统防火墙和安全中心服务。在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://www.myg*shop.com/black/”,下载恶意程序“skep.jpg”并自动调用运行。其下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“代理木马”变种vus会下载“皮皮播放器”并进行静默安装,在IE收藏夹和桌面生成大量指向“http://www.myg*shop.com/taobao.htm”页面的快捷方式,同时还会在用户浏览网页时以弹出广告窗口等方式对该站点进行恶意推广,不仅使得不法分子牟取到了非法的经济利益,还会严重地干扰用户的正常电脑操作,给用户造成了更多的不便。“代理木马”变种vus还会统计用户的感染情况以及恶意推广情况等,并将统计结果发送到指定站点“http://www.gkhf*ff.cn/”上。另外,“代理木马”变种vus除了通过冒充系统文件“ctfmon.exe”实现自启动以外,还会通过在被感染系统注册表启动项中添加键值的方式实现其它木马组件的开机自动运行。

  英文名称:Trojan/PSW.QQPass.vwe
  中文名称:“QQ大盗”变种vwe
  病毒长度:47500字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:d7d3ef53d839d6674b9d1fb5911c8026
  特征描述:
  Trojan/QQFishing.vwe“QQ诈骗犯”变种vwe是“QQ诈骗犯”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“QQ诈骗犯”变种vwe是一个通过弹出仿冒“QQ”中奖消息窗口来诱骗用户上当,从而实施网络诈骗的木马程序。“QQ诈骗犯”变种vwe运行后,会将恶意代码注入到“explorer.exe”进程中隐密运行。遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在时,便会尝试将其结束。利用注册表映像劫持功能,干扰安全软件的正常运行,从而使得系统失去安全软件的防护,增加了遭受病毒侵害的风险。“QQ诈骗犯”变种vwe运行时,会在系统托盘区域模仿“QQ”广播的“喇叭”图标闪烁,用户点击后将弹出虚假的中奖提示窗口,进一步地将用户引导至钓鱼网站“http://www.my10*qq.com/”的指定页面并实施诈骗。同时,该网站可能还存在网页挂马等恶意行为,从而使得被感染计算机用户面临更多的威胁。另外,“QQ诈骗犯”变种vwe会向骇客指定的URL“http://my10*qq.com/dijun/install.asp”反馈感染情况以及被感染系统的信息,并且通过在系统注册表启动项中添加键值“zijde”的方式实现开机自启。