江民9.12病毒播报:诈骗器和代理木马变种

9/12/2009来源:病毒数据库人气:2424

  江民今日提醒您注意:在今天的病毒中TrojanDownloader.FraudLoad.grp“诈骗器”变种grp和Trojan/Agent.cunk“代理木马”变种cunk值得关注。

  英文名称:TrojanDownloader.FraudLoad.grp
  中文名称:“诈骗器”变种grp
  病毒长度:47104字节
  病毒类型:木马下载器
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:e7dfc156aab3f007f821e88f3b137ac1
  特征描述:
  TrojanDownloader.FraudLoad.grp“诈骗器”变种grp是“诈骗器”木马下载器家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“诈骗器”变种grp运行后,会在被感染计算机系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意程序“braviax.exe”,在“%SystemRoot%\drivers\”、“%SystemRoot%\system32\drivers\”和“%SystemRoot%\system32\dllcache\”文件夹下释放恶意驱动程序“figaro.sys”和“beep.sys”,同时关闭系统文件保护提示,防止在覆盖系统文件时被用户发现。“诈骗器”变种grp运行时,会创建注册表项“PC_Antispyware2010”。篡改注册表,关闭系统防火墙以及Windows安全中心,修改IE浏览器默认主页、搜索页等为“Google”。其会在系统托盘区域弹出“Your computer is infected!”的提示,然后在未经用户授权的情况下就连接骇客指定的站点“http://poladerfados*ter.com/?wmid=1019&d=3&it=2&s=30”等进行程序下载。这款名为“PC Antispyware 2010”的程序会假装扫描计算机中的文件,并且向用户谎报系统中存在大量的木马等。如果用户想用该软件清除木马则需花钱购买授权,从而以此种方式对用户进行诈骗。另外,“诈骗器”变种grp会通过在被感染系统注册表启动项中添加键值“braviax”的方式实现开机自动运行。

  英文名称:Trojan/Agent.cunk
  中文名称:“代理木马”变种cunk
  病毒长度:15360字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:7421bc339f60bd1bf00a7e6e78795e68
  特征描述:
  Trojan/Agent.cunk“代理木马”变种cunk是“代理木马”木马家族中的最新成员之一,采用高级语言编写。“代理木马”变种cunk运行后,会禁用“Windows文件保护功能”,使其在修改系统文件时不会被用户察觉。查找当前没有启动的系统服务,然后用恶意文件替换该服务所指向的DLL文件,并且修改文件的时间属性,以此实现开机自启。“代理木马”变种cunk还会同时替换“%SystemRoot%\system32\dllcache\”下对应的系统文件备份,之后会将自我删除,从而消除痕迹。这些被替换的恶意文件会被江民杀毒软件识别为“TrojanDownloader.Agent.bpgj”,文件大小均为9KB,运行后会干扰各种安全软件的运行以及下载大量的木马程序,从而给用户造成更加严重的损失。