江民6.26病毒播报:克隆先生和QQ大盗变种

6/26/2009来源:病毒数据库人气:2637

  江民今日提醒您注意:在今天的病毒中Packed.Klone.bdr“克隆先生”变种bdr和Trojan/PSW.QQPass.wgl“QQ大盗”变种wgl值得关注。

  英文名称:Packed.Klone.bdr
  中文名称:“克隆先生”变种bdr
  病毒长度:684032字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:c4f0370f49538b032e0bdfd66e190b6a
  特征描述:
  Packed.Klone.bdr“克隆先生”变种bdr是“克隆先生”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“克隆先生”变种bdr运行后,会在被感染系统的“%SystemRoot%\”目录下释放恶意文件“甲壳虫.exe”,文件属性设置为“系统、隐藏、只读”。“克隆先生”变种bdr运行时,会将恶意代码注入到新创建的进程“iexplorer.exe”的内存空间中隐秘运行,从而防止被计算机用户轻易地发现。连接骇客指定的URL“http://6711.uw*w.net/ip.txt”,读取其中的控制端IP地址,然后不断尝试与其进行连接。一旦连接成功,则被感染的计算机便会沦为骇客的傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作,其中包括文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、视频监控等,从而给用户的个人隐私甚至是商业机密造成不同程度的侵害。同时,骇客还可以向傀儡主机发送大量的恶意程序,致使用户面临更多的风险。另外,“克隆先生”变种bdr会在被感染系统中注册名为“svchost”的系统服务,以此实现木马的开机自启。

  英文名称:Trojan/PSW.QQPass.wgl
  中文名称:“QQ大盗”变种wgl
  病毒长度:44992字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:711e499e9ce6537420882c9c836a5e0a
  特征描述:
  Trojan/PSW.QQPass.wgl“QQ大盗”变种wgl是“QQ大盗”盗号木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“QQ大盗”变种wgl是一个通过弹出仿冒“QQ”中奖消息窗口来诱骗用户上当,从而实施网络诈骗的木马程序。“QQ大盗”变种wgl运行后,会将恶意代码注入到“explorer.exe”进程中隐密运行。遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在时,便会尝试将其结束。利用注册表映像劫持功能,干扰安全软件的正常运行,从而使得系统失去安全软件的防护,增加了遭受病毒侵害的风险。“QQ大盗”变种wgl运行时,会在系统托盘区域模仿“QQ”广播的“喇叭”图标闪烁,用户点击后将弹出虚假的中奖提示窗口,从而进一步地将用户引导至钓鱼网站“http://tttt*.com.cn/wr.htm”的指定页面并实施诈骗。同时,该网站可能还存在网页挂马等恶意行为,从而使得被感染计算机用户面临更多的威胁。另外,“QQ大盗”变种wgl会向骇客指定的URL“http://zzzz66*5.cn/qqq/install.asp”反馈病毒的感染情况,其会通过在系统注册表启动项中添加键值“qq”的方式实现开机自启。