江民6.3病毒播报:U盘寄生虫和Hosts劫持者

6/3/2009来源:病毒数据库人气:4507

  江民今日提醒您注意:在今天的病毒中Worm/AutoRun.hdu“U盘寄生虫”变种hdu和Trojan/Qhost.sg“Hosts劫持者”变种sg值得关注。

  英文名称:Worm/AutoRun.hdu
  中文名称:“U盘寄生虫”变种hdu
  病毒长度:105472字节
  病毒类型:蠕虫
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:b0bcdc7fa19d8463c6fbc6ecbd01a48e
  特征描述:
  Worm/AutoRun.hdu“U盘寄生虫”变种hdu是“U盘寄生虫”蠕虫家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,并且经过加壳保护处理。“U盘寄生虫”变种hdu运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“down.exe”,同时还会在相同目录下释放其它的恶意脚本文件,其几乎所有的恶意功能都通过批处理指令来实现。“U盘寄生虫”变种hdu会强行篡改注册表,致使系统中的“显示系统隐藏文件”功能失效,同时还会关闭“Windows安全中心”服务。复制系统文件“at.exe”为“systen32.exe”,复制“cmd.exe”为“SVCH0S.exe”和“Systen.exe”,复制“ping.exe”为“EXPL0RER.EXE”。启动“计划任务”服务,添加每天9点到0点时间段内的大量计划任务,以此实现恶意批处理文件的自动执行。利用系统自带的ftp工具,连接骇客指定的下载地址“auto555.33*.org”,下载恶意程序“1.RMVB”并自动调用运行。还会向骇客指定的电子邮箱“2945*[email protected]QQ.com”定时发送电子邮件以记录感染情况。“U盘寄生虫”变种hdu可通过U盘、移动硬盘等设备进行传播,其会将移动存储设备中的文件夹设置为“隐藏”,并且生成和这些文件夹同名且具有文件夹图标的病毒文件,以此诱骗用户进行点击,从而增加了自身的感染几率与隐蔽性。

  英文名称:Trojan/Qhost.sg
  中文名称:“Hosts劫持者”变种sg
  病毒长度:22316字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:7c00331489054a0703509ff315202a87
  特征描述:
  Trojan/Qhost.sg“Hosts劫持者”变种sg是“Hosts劫持者”木马家族中的最新成员之一,采用“Borland Delphi”编写,并且经过加壳保护处理。“Hosts劫持者”变种sg会将自身图标伪装成“Windows xp”风格的网页文件图标,从而诱骗用户点击运行。运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”目录下,重新命名为“hosts.exe”(文件属性设置为“系统、隐藏”)。强行篡改系统中的“%SystemRoot%\system32\drivers\etc\hosts”文件,利用域名映像劫持功能,将一些知名的门户网站或者某些商业网站转向骇客指定的站点。同时还会通过强行篡改注册表的方式,将IE浏览器默认主页、搜索页、标题栏等设置为骇客指定站点“www.77*882.com”的相关内容,致使用户在打开浏览器后便会自动访问该网站以增加其访问量,不仅给骇客带来了经济利益,而且还会严重地影响和干扰用户对计算机的正常使用。“Hosts劫持者”变种sg会通过在被感染系统注册表启动项中添加键值“SysIEop”、“DisplayName”的方式来实现木马的开机自动运行。