江民10.28病毒播报:窥私眼和暗门变种病毒

10/28/2009来源:病毒数据库人气:2840

  江民今日提醒您注意:在今天的病毒中Trojan/Cospet.r“窥私眼”变种r和Backdoor/Xyligan.ad“暗门”变种ad值得关注。

  英文名称:Trojan/Cospet.r
  中文名称:“窥私眼”变种r
  病毒长度:134434字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:4ebcccca9af93b72f2902b41b7d8918f
  特征描述:
  Trojan/Cospet.r“窥私眼”变种r是“窥私眼”木马家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,并且经过加壳保护处理。“窥私眼”变种r运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”文件夹下,重新命名为“Lsas.exe”。关闭系统防火墙,并在“%SystemRoot%\system32\”目录下创建“win23.txt”文件以记录进程窗口标题及相应的按键信息,同时可能进行屏幕截图,保存为“Cam.jpg”或“IMG.jpeg”,以此进行窃密活动。“窥私眼”变种r可能会将自身复制到网络共享软件的默认共享目录中,或者利用系统自动播放功能进行自我的传播和激活。其还可以向被感染系统用户的“MSN MESSENGER”和“Yahoo Messenger”好友发送垃圾信息,从而影响到了他人的信息安全。“窥私眼”变种r会通过FTP上传键盘记录文件、屏幕截图、以及其它敏感文件,从而不同程度地侵犯了用户的隐私。另外,“窥私眼”变种r会在被感染系统注册表启动项中添加键值“Winupdate”,以此实现木马的开机自动运行。

  英文名称:Backdoor/Xyligan.ad
  中文名称:“暗门”变种ad
  病毒长度:66480字节
  病毒类型:后门
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:7ebc28830f89fc6b8b10450655ea24f7
  特征描述:
  Backdoor/Xyligan.ad“暗门”变种ad是“暗门”后门家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“暗门”变种ad运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”文件夹下,重新命名为“*.exe”(文件名为随机6个字母),然后原病毒程序会将自我删除,以此消除痕迹。不断尝试与控制端(ip地址为:hdgpw.33*.org:8000)进行连接,如果连接成功,骇客便可以向被感染的计算机发送恶意指令,从而执行多种控制操作,其中包括:文件管理、进程控制、注册表操作、服务管理、下载其它恶意程序等,会给用户的个人隐私,甚至是商业机密造成不同程度的损失。“暗门”变种ad会修改注册表,从而将自身添加到系统防火墙的“例外”列表中,使得自身进行的网络通信不会被防火墙所监视。另外,其会在被感染计算机中注册名为“skdos”的系统服务,以此实现后门的开机自启(服务名称显示为“Remote Command Service”)。