江民7.25病毒播报:U盘寄生虫和诈骗器变种

7/25/2009来源:病毒数据库人气:2621

  江民今日提醒您注意:在今天的病毒中Worm/AutoRun.ikm“U盘寄生虫”变种ikm和TrojanDownloader.FraudLoad.fjn“诈骗器”变种fjn值得关注。

  英文名称:Worm/AutoRun.ikm
  中文名称:“U盘寄生虫”变种ikm
  病毒长度:14633字节
  病毒类型:蠕虫
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:333abd835438d0b39807302819370be0
  特征描述:
  Worm/AutoRun.ikm“U盘寄生虫”变种ikm是“U盘寄生虫”蠕虫家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“U盘寄生虫”变种ikm运行后,会自我复制到被感染系统的“C:\PRogram Files\Common Files\”目录下,重新命名为“SysAnti.exe”,文件属性设置为“系统、隐藏”。同时,还会在“%SystemRoot%\fonts\”、“%USERPROFILE%\Local Settings\”目录下分别释放随机文件名的恶意DLL组件以及恶意驱动程序“*.fon”、“Temp~*.tmp”。将自身复制到“%SystemRoot%\system32\dllcache\”和“%SystemRoot%\”目录下并替换系统文件“explorer.exe”,从而更好地隐藏了自我。在安装完成后其还会将自我删除,以此消除痕迹。“U盘寄生虫”变种ikm运行时,会创建新的“svchost.exe”和“iexplorer.exe”进程,并将恶意代码注入其中运行,从而避免被轻易地发现。利用其释放的恶意驱动程序关闭指定安全软件的自保护功能,从而可以关闭这些软件的进程以及窗口,致使被感染系统失去安全软件的防护。强行篡改注册表,删除一些安全软件的启动项。同时,利用文件映像劫持功能,干扰大量的系统工具、安全软件、诊断程序的正常运行。还会利用域名映像劫持功能,屏蔽用户对一些安全站点的访问,提高了自身的生存能力。在被感染系统的后台连接骇客指定的远程服务器站点“http://www.965*.net.cn/”,获取恶意程序下载列表“xin.txt”,下载指定的恶意程序并自动调用运行。另外,还会从“http://down.*yue.info/down.php?id=”下载其它的恶意程序,从而给用户造成更多的威胁。在后台连接指定的页面“http://qmmm*.com.cn/Count/Count.asp”,以此进行感染信息的反馈。另外,“U盘寄生虫”变种ikm会在被感染计算机的系统盘根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫主程序文件(文件属性设置为“系统、隐藏”),以此实现双击盘符后激活蠕虫的目的,给用户造成了更大的隐患。“U盘寄生虫”变种ikm会在被感染系统注册表启动项中添加键值,从而实现开机后的自动运行。

  英文名称:TrojanDownloader.FraudLoad.fjn
  中文名称:“诈骗器”变种fjn
  病毒长度:100754字节
  病毒类型:木马下载器
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:4632bc16433b62d08ccc47188354310c
  特征描述:
  TrojanDownloader.FraudLoad.fjn“诈骗器”变种fjn是“诈骗器”木马下载器家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“诈骗器”变种fjn运行时,会在被感染系统的后台连接骇客指定的远程服务器站点“http://reportsystem*.com/senm.php?”、“http://ter*adataweb.com/senm.php?”和“http://dvdis*rapid.com/senm.php?”,获取加密的恶意程序下载地址,然后在被感染计算机上下载配置文件中指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。