江民今日提醒您注意:在今天的病毒中TrojanDropper.Agent.aaxa“代理木马”变种aaxa和Exploit.SqlShell.o“SQL幽灵”变种o值得关注。
英文名称:TrojanDropper.Agent.aaxa
中文名称:“代理木马”变种aaxa
病毒长度:23552字节
病毒类型:木马释放器
危险级别:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
md5 校验:35db985e312f22cc6ead0a4a5f2d0a2d
特征描述:
TrojanDropper.Agent.aaxa“代理木马”变种aaxa是“代理木马”木马释放器家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“代理木马”变种aaxa运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\dllcache\”文件夹下,重新命名为“systembox.bak”。在“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“*.dll”(文件名从netsvcs服务组中依次取得,一般从“6to4”开始),同时将其复制到“%SystemRoot%\system32\dllcache\”文件夹下。另外,还会在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“WmiSvc.sys”,用以结束各类安全软件的自我保护。结束大量安全软件的进程,同时利用注册表映像文件劫持功能,干扰这些安全软件的正常运行。“代理木马”变种aaxa释放的DLL文件在运行后,会下载其它各类木马或者连接指定的挂马页面,从而给用户造成不同程度的损失。“代理木马”变种aaxa还可通过移动存储设备及网上邻居进行传播,其会自我复制为“[盘符]:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe”并生成“autorun.inf”文件,从而利用系统的自动播放功能激活自我。通过自带的密码表对存在弱口令的网上邻居进行连接,一旦连接成功便会复制自身到该计算机的“C:\”下,重新命名为“bootfont.exe”,并且利用计划任务功能将其激活。另外,“代理木马”变种aaxa会对部分扩展名为“.exe”、“.asp”、“.htm”、“.html”、“.aspx”及“.RAR”文件进行感染,从而给用户造成更多的风险。“代理木马”变种aaxa会在被感染计算机中注册为系统服务,以此实现开机自启。
英文名称:Exploit.SqlShell.o
中文名称:“SQL幽灵”变种o
病毒长度:227328字节
病毒类型:漏洞病毒
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:750e784163ea09d7889b4e1110b985e2
特征描述:
Exploit.SqlShell.o“SQL幽灵”变种o是“SQL幽灵”漏洞病毒家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件,经过加壳保护处理。“SQL幽灵”变种o运行时,会在被感染系统的“%SystemRoot%\system32\”目录下释放经过加壳保护的恶意DLL组件“dwinter.dll”和“dwintel.dll”。“SQL幽灵”变种o会针对“Microsoft SQL Server 2003”或其它版本的已知漏洞进行攻击,其会搜索当前网段内存在的数据库服务,并对使用了弱口令、采用混合验证模式登陆的数据库服务进行连接。骇客会发送特定的查询使得之前释放的DLL文件被调用,一旦调用成功,“SQL幽灵”变种o可能会通过FTP等方式下载其它的恶意程序,或者在服务器上执行任意代码,从而对被感染系统的用户造成不同程度的侵害。
