江民7.27病毒播报:橘色诱惑和魔兽贼变种

7/27/2009来源:病毒数据库人气:2483

  江民今日提醒您注意:在今天的病毒中Trojan/Chifrax.ol“橘色诱惑”变种ol和Trojan/PSW.WOW.ahe“魔兽贼”变种ahe值得关注。

  英文名称:Trojan/Chifrax.ol
  中文名称:“橘色诱惑”变种ol
  病毒长度:288105字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:5f6eb2e5f76fb2ff91033d3f9fac331e
  特征描述:
  Trojan/Chifrax.ol“橘色诱惑”变种ol是“橘色诱惑”木马家族中的最新成员之一,采用SFX自解压格式存储。“橘色诱惑”变种ol运行后,会在“%SystemRoot%\system32\”文件夹下释放恶意程序“fz1.exe”和快播视频点播软件“Qvod3.exe”。“fz1.exe”运行后,会在被感染系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“killdll.dll”,在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“pcidump.sys”、“aec.SYS”或者“AsyncMac.sys”,还会在临时文件夹下释放恶意程序“update~.exe”,并通过恶意驱动替换系统文件“userinit.exe”,以此达到开机自启动的目的。自我复制到“%SystemRoot%\system32\”目录下,并重新命名为“scvhost.exe”。利用其释放的恶意驱动程序关闭安全软件的自保护功能,同时终止大量的安全软件、系统工具、应用程序的进程和相关的系统服务等,致使用户的计算机系统失去保护。连接骇客指定的远程服务器站点“http://d.qv7*8.com/”,读取配置文件“..\host.txt”,按照其中的配置修改“%SystemRoot%\system32\drivers\etc\hosts”文件,通过域名映像劫持功能屏蔽大量的站点。获取恶意程序下载列表“..\down\01\fz.txt”,下载该文件中指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序(流氓软件)等,从而给用户造成了不同程度的损失。该恶意文件还会连接指定的页面“http://count.key51*8.com/down/01/get.asp”,从而对感染情况进行统计。

  英文名称:Trojan/PSW.WOW.ahe
  中文名称:“魔兽贼”变种ahe
  病毒长度:17218字节
  病毒类型:盗号木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:1fa5462493898f1fc078c33e27418223
  特征描述:
  Trojan/PSW.WOW.ahe“魔兽贼”变种ahe是“魔兽贼”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“魔兽贼”变种ahe运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”目录下,重新命名为“Vip0501.exe”,文件属性设置为“系统”。同时,还会修改文件的时间属性(“创建时间”和“修改时间”),以此迷惑用户,从而达到更好的隐蔽效果。“魔兽贼”变种ahe运行时,会在被感染系统的后台连接骇客指定的远程服务器站点“http://www.iy*y.cn/down/ly/”,获取恶意程序下载列表“down.txt”,然后下载指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“魔兽贼”变种ahe还会反馈被感染计算机的基本信息,用以统计感染情况或对木马进行自动更新等。另外,“魔兽贼”变种ahe会在被感染计算机中注册名为“Vip0501”的系统服务,以此实现木马的开机自启。