江民8.17病毒播报:橘色诱惑和任意门变种

8/17/2009来源:病毒数据库人气:3227

  江民今日提醒您注意:在今天的病毒中 Trojan/Chifrax.tj“橘色诱惑”变种tj和Worm/AutoDoor.h“任意门”变种h值得关注。

  英文名称:Trojan/Chifrax.tj
  中文名称:“橘色诱惑”变种tj
  病毒长度:733695字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:7eaa74e626046587f92a75ae2e5f663e
  特征描述:
  Trojan/Chifrax.tj“橘色诱惑”变种tj是“橘色诱惑”木马家族中的最新成员之一,采用SFX自解压格式存储。“橘色诱惑”变种tj解压后,会在临时文件夹下释放另外2个自解压文件“cqscpk.exe”和“QQ.exe”。其中,“cqscpk.exe”中包含名为“神传PK v0.8c”的“热血传奇”和“传奇外传”网络游戏外挂程序;“qq.exe”(图标伪装成DLL文件图标,文件属性为“隐藏”)中则包含恶意程序“huanhun.exe”及诸多脚本文件。“qq.exe”运行解压后,会将释放的恶意程序“huanhun.exe”复制到被感染系统的“C:\PRogram Files\Common Files\Microsoft Shared\MSInfo\”目录下。该文件是一个名为“上兴”的远程控制木马,运行后会将恶意代码注入到新创建的进程“iexplore.exe”中隐秘运行。连接骇客指定的站点“http://www.55*wg.com/”,读取文件“ip.txt”中保存的控制端IP及端口,并不断尝试与控制端进行连接。一旦连接成功,则被感染的计算机就会沦为骇客的傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作,其中包括文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等,会给用户的个人隐私甚至是商业机密造成不同程度的侵害。骇客还可以向傀儡主机发送大量的恶意程序,从而对用户的信息安全构成更加严重的威胁。同时,该木马还会通过移动存储设备进行自我传播,其会监视被感染系统中新插入的移动存储设备,一旦发现有新的移动存储设备接入时,便会在其根目录下创建“autorun.inf”(自动播放配置文件)和木马主程序文件,以此实现双击盘符后激活木马的目的。另外,“橘色诱惑”变种tj会通过在被感染系统注册表启动项中添加键值“huanhun”的方式实现木马的开机自启。

  英文名称:Worm/AutoDoor.h
  中文名称:“任意门”变种h
  病毒长度:393216字节
  病毒类型:蠕虫
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:5720eae1ae454dfbba6c25d9659dd52a
  特征描述:
  Worm/AutoDoor.h“任意门”变种h是“任意门”蠕虫家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“任意门”变种h的图标被伪装成“Microsoft Office Excel”文件的图标,并且仅当自身后缀为“.xls.exe”时,才会执行恶意操作。其会在自身所在目录下释放恶意程序,文件名相同但没有后缀。同时,还会在“C:\Program Files\NetMeeting\”目录下释放恶意程序“winconfig_*.exe”等,并修改文件的时间属性(“创建时间”和“修改时间”),以此迷惑用户。在安装完成后,其会将自身删除,以此消除痕迹。“任意门”变种h运行时,会关闭大量的网络软件、浏览器以及下载程序的进程。在被感染计算机上以邮件的方式泄露用户的隐私,或者与骇客指定的服务器交换指令,以此进行恶意程序的下载以及自我传播等恶意行为。另外,“任意门”变种h可能会通过移动存储设备进行自我传播,其会通过修改注册表相关键值的方式实现开机自动运行。