江民7.15病毒播报:U盘寄生虫和橘色诱惑

7/15/2009来源:病毒数据库人气:2855

  江民今日提醒您注意:在今天的病毒中Worm/AutoRun.ikl“U盘寄生虫”变种ikl和Trojan/Chifrax.ok“橘色诱惑”变种ok值得关注。

  英文名称:Worm/AutoRun.ikl
  中文名称:“U盘寄生虫”变种ikl
  病毒长度:47549字节
  病毒类型:蠕虫
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:b6908386c8e416fbf1fe305197925b6d
  特征描述:
  Worm/AutoRun.ikl“U盘寄生虫”变种ikl是“U盘寄生虫”蠕虫家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“U盘寄生虫”变种ikl运行后,会自我复制到被感染系统的“C:\PRogram Files\Common Files\”目录下,重新命名为“SysAnti.exe”,文件属性设置为“系统、隐藏”。在“%SystemRoot%\fonts\”目录下释放随机文件名的恶意DLL组件“*.DLL”,同时还会在“%SystemRoot%\fonts\”和“%USERPROFILE%\Local Settings\”目录下分别释放随机文件名的恶意驱动程序“*.fon”和“Temp~*.tmp”。安装完成后,该蠕虫会将自身删除,以此消除痕迹。“U盘寄生虫”变种ikl在运行时,会替换系统文件“explorer.exe”。创建新的“svchost.exe”和“iexplorer.exe”进程,并将恶意代码注入其中。利用其释放的恶意驱动程序关闭指定安全软件的自保护功能,从而可以轻松地终止、关闭这些安全软件的进程或窗口。强行篡改注册表,删除指定安全软件的启动项,还会利用映象劫持功能,干扰大量系统工具、安全软件、诊断工具等的正常运行。修改系统中的hosts文件,致使用户无法访问一些安全站点,从而更好的达到了自我保护的目的。在被感染计算机的系统盘根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫主程序文件(文件属性设置为“系统、隐藏”),以此实现了双击盘符后激活蠕虫的目的。“U盘寄生虫”变种ikl会在被感染系统的后台连接骇客指定的站点“http://0519q*.cn/ceshi/”,获取恶意程序下载列表“QQ.txt”,然后下载大量的恶意程序并自动调用运行。另外还会从“http://down.*yue.info/down.php?id=”下载其它的恶意程序,从而对被感染系统的用户造成更多的威胁。“U盘寄生虫”变种ikl会通过连接指定页面“http://0519q*.cn/tj/count.asp”的方式进行感染信息的统计。另外,其会在被感染系统注册表启动项中添加键值,以此实现开机后自动运行。

  英文名称:Trojan/Chifrax.ok
  中文名称:“橘色诱惑”变种ok
  病毒长度:162991字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:003a25d5d2df4cabc798a610ce2be540
  特征描述:
  Trojan/Chifrax.ok“橘色诱惑”变种ok是“橘色诱惑”木马家族中的最新成员之一,采用SFX自解压格式存储。“橘色诱惑”变种ok运行后,会解压恶意文件“1.exe”和“360.bat”到被感染系统的临时文件夹下。在被感染系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“Hies.dll”,文件属性设置为“隐藏”。“橘色诱惑”变种ok会修改注册表,从而关闭某些安全软件的监控。不断尝试与控制端(地址为:lovelmfs.vi*p.net:5201)进行连接,一旦连接成功,则被感染的计算机就会沦为骇客的傀儡主机。骇客可以向被感染的系统发送恶意指令,从而执行任意控制操作(控制操作包括但不限于:文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、视频监控等),会给用户的个人隐私甚至是商业机密造成不同程度的损失。同时,骇客还可以向傀儡主机发送大量的恶意程序,从而对用户构成了更加严重的威胁。“橘色诱惑”变种ok会通过修改系统服务“HidServ”、“BITS”的方式实现木马的开机自启。