江民10.23病毒播报:伪程序和兽门变种病毒

10/23/2009来源:病毒数据库人气:4064

  江民今日提醒您注意:在今天的病毒中Trojan/Antavmu.nt“伪程序”变种nt和Backdoor/Beastdoor.bc“兽门”变种bc值得关注。

  英文名称:Trojan/Antavmu.nt
  中文名称:“伪程序”变种nt
  病毒长度:68176字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:e1331c2a8368eaf2822d408d619983a9
  特征描述:
  Trojan/Antavmu.nt“伪程序”变种nt是“伪程序”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“伪程序”变种nt运行后,会创建一个新的自身进程,并将新的恶意程序代码注入该进程,以此执行恶意操作。自我复制到被感染系统的“%USERPROFILE%\application Data\S03-7323-GEYNAWT-2623-TGAW\”文件夹下,重新命名为“winlogon.exe”,并将该文件夹设置为“系统回收站”图标,文件夹及文件都设置为“系统、隐藏、只读”属性,以此隐藏自我。在后台遍历当前系统中所有正在运行的进程,一旦发现指定安全软件的进程便会尝试将其结束。同时还会隐藏自身进程,使得用户无法在“Windows任务管理器”中看到其进程,从而达到了自我保护的目的。利用域名劫持阻止用户访问大量的安全站点,致使用户无法通过这些站点获取病毒查杀方面的信息。“伪程序”变种nt会将自身命名为一些知名软件的算号程序,并通过网络资源共享软件进行传播。另外,其还会通过可移动存储设备进行传播。“伪程序”变种nt会修改注册表,致使“显示系统隐藏文件”的功能失效,同时会向多个注册表位置添加名为“Windows Login Assistant”的启动项,以此实现开机自动运行。

  英文名称:Backdoor/Beastdoor.bc
  中文名称:“兽门”变种bc
  病毒长度:30357字节
  病毒类型:后门
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:ea9da8b0d553df812d987c4ce9c82229
  特征描述:
  Backdoor/Beastdoor.bc“兽门”变种bc是“兽门”后门家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,经过加壳保护处理。“兽门”变种bc运行后,会自我复制到被感染系统的“%SystemRoot%\”、“%SystemRoot%\system32\”、“%SystemRoot%\msagent\”文件夹下,分别重新命名为“svchost.exe”、“msunpc.com”、“msqxtq.com”。将以上文件属性设置为“系统”,同时修改文件的时间属性(“创建时间”和“修改时间”),以此迷惑用户。“兽门”变种bc运行时,可能会关闭“Windows系统防火墙”服务,并创建名为“beasty”的窗口类,从而防止创建重复的进程。开启被感染计算机的“6666”端口并监听,从而为骇客大开后门。骇客可以对被感染系统执行各种控制,其中包括:文件管理、进程控制、注册表操作、远程命令执行、下载其它恶意程序、屏幕监控、鼠标控制、音频监控、视频监控、键盘记录等,从而对系统用户构成了严重的威胁。“兽门”变种bc会将击键信息记录到文件“mslg.blf”中,并发送到骇客指定的邮箱中,从而致使用户的私密信息失窃。另外,“兽门”变种bc会通过在被感染系统注册表启动项中添加键值“COM Service”、在“Installed Components”键下添加子键的方式实现开机自启。