江民10.15病毒播报:AV杀手和伪程序变种

10/15/2009来源:病毒数据库人气:2529

  江民今日提醒您注意:在今天的病毒中Trojan/KillAV.cgl“AV杀手”变种cgl和Trojan/Antavmu.ns“伪程序”变种ns值得关注。

  英文名称:Trojan/KillAV.cgl
  中文名称:“AV杀手”变种cgl
  病毒长度:49152字节
  病毒类型:木马
  危险级别:★★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:6759e52ff8a755740608170dbb25bfe1
  特征描述:
  Trojan/KillAV.cgl“AV杀手”变种cgl是“AV杀手”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“AV杀手”变种cgl运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下,重新命名为“ctfmon.exe”,以此替换系统的同名文件,实现开机自启。“AV杀手”变种cgl会在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在便会尝试将其结束,从而达到了自我保护的目的。“AV杀手”变种cgl会在被感染系统中所有磁盘分区根目录下创建“autorun.inf”(自动播放配置文件)和木马主程序文件“recycle.{645FF040-5081-101B-9F08-00AA002F954E}\123.exe”,以此实现了双击盘符后激活木马的目的。其还会利用自带的密码表对使用弱口令的网上邻居进行连接,一旦连接成功便会将自身复制到网上邻居的每个默认共享文件夹中,重新命名为“hackshen.exe”。同时还会创建计划任务,以使其自动运行。遍历磁盘上的“tar”、“cab”、“tgz”、“zip”、“rar”文件,将自身插入到这些类型的压缩文件中。连接骇客指定的URL,下载大量恶意程序并调用运行,致使系统用户遭受更大的侵害。“AV杀手”变种cgl还会在临时文件夹下释放恶意DLL文件“myxxx123.tmp”,该文件会自我复制到“Windows Media Player”、“Internet Explorer”、“WinRAR”、“Ms Office”、“迅雷”、“搜狗拼音”、“腾讯QQ”、“暴风影音”及“360安全卫士”的安装目录中,并伪装成系统文件“lpk.dll”,以此实现随这些程序的启动而调用运行。该DLL文件运行后会连接指定的URL,下载恶意程序并自动调用运行,从而给系统用户造成更多的损失。

  英文名称:Trojan/Antavmu.ns
  中文名称:“伪程序”变种ns
  病毒长度:596992字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:d5a4e4b5b7b672965c97433bd1425090
  特征描述:
  Trojan/Antavmu.ns“伪程序”变种ns是“伪程序”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“伪程序”变种ns图标伪装成“Windows 远程桌面连接”,以此欺骗用户运行。运行后,其会试图关闭各种安全软件相关的系统服务、“Windows防火墙”、“安全中心”服务,并向“http://www.desenvolvimentone*.com/pharm.php”页面反馈用户的计算机名等信息。“伪程序”变种ns还可能下载文件“http://208.93.*.110/PRivate/manezeca_hosts.txt”并替换系统“hosts”文件,从而利用域名劫持阻止用户访问指定的安全厂商的站点。