江民9.19病毒播报:毒套和网银窃贼变种

9/19/2009来源:病毒数据库人气:4137

  江民今日提醒您注意:在今天的病毒中Hoax.Bravia.mu“毒套”变种mu和Trojan/Banker.Banker.dd“网银窃贼”变种dd值得关注。

  英文名称:Hoax.Bravia.mu
  中文名称:“毒套”变种mu
  病毒长度:40960字节
  病毒类型:恶作剧病毒
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:0fe2f59cf79c3bcb79abf5e77beb7631
  特征描述:
  Hoax.Bravia.mu“毒套”变种mu是“毒套”恶作剧病毒家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“毒套”变种mu运行后,会在被感染系统的“%SystemRoot%\system32\”目录下释放经过加壳保护的恶意程序“braviax.exe”,在“%SystemRoot%\system32\dllcache\”目录下释放恶意驱动程序“figaro.sys”,并且会将其复制到“%SystemRoot%\system32\drivers\”目录及“%SystemRoot%\system32\dllcache\”目录下,替换系统文件“beep.sys”。其在替换系统文件时会关闭系统文件保护功能,从而不会使系统弹出警告信息,以此提高了自身的隐蔽性。“毒套”变种mu会利用该恶意驱动程序关闭安全软件的自保护功能,同时终止其进程,致使计算机系统失去安全软件的防护。篡改注册表,关闭被感染计算机的自动更新、防火墙、安全中心等服务。连接骇客指定的URL“http://pcredirok*t.com/?wmid=1019&d=1&it=2&s=3”,下载一款名为“PC Security 2009”的假冒杀毒软件。该软件会提示用户计算机存在木马等安全问题,并且弹出仿冒的“Windows安全中心”提示用户不存在病毒防护软件,以此诱骗被感染系统用户购买该程序。另外,“毒套”变种mu会通过在被感染系统注册表启动项中添加键值“braviax”的方式实现开机自动运行。

  英文名称:Trojan/Banker.Banker.dd
  中文名称:“网银窃贼”变种dd
  病毒长度:40658字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:964428402852e0b760f0b9641a82b8dc
  特征描述:
  Trojan/Banker.Banker.dd“网银窃贼”变种dd是“网银窃贼”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“网银窃贼”变种dd运行后,会连接骇客指定的服务器地址,下载加密的配置文件“http://www.chn*.cn/CPAAD.MDB”,并根据其中的设置下载“酷我音乐盒”、“PPS 奥运视频直播版”“糖果浏览器”“播霸播放器”“中易浏览器1166特制版”、“UUSee网络电视2008”等等应用软件。之后,会根据配置文件强制安装这些软件,同时删除产生的桌面图标、“开始”菜单中的程序信息,隐藏这些软件的窗口以及托盘图标,同时设置为开机启动项,以此蒙蔽了用户。骇客通过这种方式对这些软件进行恶意推广,并且从中牟取非法的经济利益。