江民6.25病毒播报:键盘终结者和尖峰洞变种

6/25/2009来源:病毒数据库人气:2667

  江民今日提醒您注意:在今天的病毒中TrojanSpy.KeyLogger.ate“键盘终结者”变种ate和Packed.PePatch.ayz“尖峰洞”变种ayz值得关注。

  英文名称:TrojanSpy.KeyLogger.ate
  中文名称:“键盘终结者”变种ate
  病毒长度:135648字节
  病毒类型:间谍木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:fcea401cb3cef3f724c35b429ca496c2
  特征描述:
  TrojanSpy.KeyLogger.ate“键盘终结者”变种ate是“键盘终结者”间谍木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“键盘终结者”变种ate运行后,会自我复制到被感染计算机系统的“%SystemRoot%\”目录下,重新命名为“rstray.exe”。在后台秘密监视用户的键盘操作,并将当前的击键、窗口标题、时间等信息记录到“winhlp32.hlp”文件中。每隔一定的时间,“键盘终结者”变种ate就会将该文件移动到“%SystemRoot%\msik\logs\”目录下,并以“ikl_<YY-MM-DD>_<HH-MM-SS>.txt”的格式命名,然后在后台将这些文件上传到骇客指定的远程FTP服务器站点“ftp://121.11.*.234”,从而对被感染系统用户的隐私造成了不同程度的侵害。“键盘终结者”变种ate还会监视窗口标题中是否包含“客户交易结果信息显示”、“网付通支付网关”、“中国建设银行”、“中国邮政支付网关”等等字符串,一旦用户访问这些站点并且使用虚拟键盘进行密码输入时,则会对屏幕进行截图,并以“ikc_<YY-MM-DD>_<HH-MM-SS-MS>.jpg”的格式命名、保存到“%SystemRoot%\msik\clickshots\”目录下,之后会将其上传到骇客指定的FTP服务器上。另外,“键盘终结者”变种ate会通过在被感染系统注册表启动项中添加键值“SCISound”的方式来实现木马的开机自启。

  英文名称:Packed.PePatch.ayz
  中文名称:“尖峰洞”变种ayz
  病毒长度:24064字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:54938cb68d35aa4e018957a6d5717865
  特征描述:
  Packed.PePatch.ayz“尖峰洞”变种ayz是“尖峰洞”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“尖峰洞”变种ayz运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放恶意DLL组件,之后会将其复制到“%SystemRoot%\system32\”目录下并重新命名为“360safer.dll”。同时,还会在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“MgicRc.sys”或“beep.sys”。“尖峰洞”变种ayz会利用释放的恶意驱动关闭安全软件的自保护功能,从而终止其进程,致使用户的计算机失去安全软件的防护。在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://gao**utao.3322.org:9999”以进行恶意程序的下载和反馈被感染计算机的相关信息。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,从而给用户造成了不同程度的损失。另外,“尖峰洞”变种ayz会在被感染系统中注册随机名称的系统服务,以此实现木马的开机自动运行。