江民11.11病毒播报:幽灵下载者和毒疤变种

11/11/2009来源:病毒数据库人气:4693

  江民今日提醒您注意:在今天的病毒中TrojanDownloader.Servill.d“幽灵下载者”变种d和Trojan/Scar.ho“毒疤”变种ho值得关注。

  英文名称:TrojanDownloader.Servill.d
  中文名称:“幽灵下载者”变种d
  病毒长度:48128字节
  病毒类型:木马下载器
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:ebf4d7c2c94df9d01c43ec60ad34f50c
  特征描述:
  TrojanDownloader.Servill.d“幽灵下载者”变种d是“幽灵下载者”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“幽灵下载者”变种d运行后,会释放恶意程序到“%SystemRoot%\system32\”和临时文件夹下,文件名随机生成。关闭“Windows安全中心”服务,并试图关闭指定安全软件的进程及服务。利用映像文件劫持干扰指定安全软件的正常运行,以此达到自我保护的目的。“幽灵下载者”变种d释放的驱动程序会穿透一些文件系统还原软件的保护,并将系统程序“userinit.exe”替换为释放的恶意程序,以此实现开机自启。“幽灵下载者”变种d会检测系统中是否运行着“QQ”,以此判断计算机是否处于联网状态。向骇客指定的页面“http://tg.fs0*.cn/w1/getmac.asp”反馈被感染计算机的相关信息,同时下载“http://txt.hop*w.com/xx.txt”到临时文件夹下,根据该文件中指定的列表下载大量恶意程序到被感染系统中并调用运行,致使用户遭受账号丢失、被远程控制等威胁。下载“http://txt.hop*w.com/ad.txt”并替换系统hosts文件,利用域名劫持阻止用户访问某些站点。另外,其还会单独下载恶意程序“http://dd.edd*x.com/xx.exe”并调用运行。“幽灵下载者”变种d会在被感染系统注册表启动项中添加键值“msconfig”,以此实现开机自动运行。

  英文名称:Trojan/Scar.ho
  中文名称:“毒疤”变种ho
  病毒长度:65536字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:c901aaeb65f52407be41a7ee9d01cadb
  特征描述:
  Trojan/Scar.ho“毒疤”变种ho是“毒疤”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“毒疤”变种ho运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“*.exe”(文件名为5个随机字母),文件属性设置为“系统、隐藏”,然后原病毒程序会将自我删除,以此消除痕迹。“毒疤”变种ho运行时,会不断尝试与控制端(地址为:wyannhmm.33*.org:1911)进行连接。一旦连接成功,被感染的计算机便会响应骇客发送的恶意指令,进而执行进程管理、服务控制、下载其它恶意程序等恶意行为,从而给被感染系统用户的信息安全造成不同程度的侵害。另外,“毒疤”变种ho会在被感染计算机中注册名为“bfy”的系统服务,以此实现木马的开机自启。