江民今日提醒您注意:在今天的病毒中Win32/Dropper.m“病毒释放器”变种m和Backdoor/Ghost.bmw“幽灵门”变种bmw值得关注。
英文名称:Win32/Dropper.m
中文名称:“病毒释放器”变种m
病毒长度:108032字节
病毒类型:Windows病毒
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:5581e5e968ee727a135491349d8c1c93
特征描述:
Win32/Dropper.m“病毒释放器”变种m是“病毒释放器”Windows病毒家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“病毒释放器”变种m运行后,会在被感染系统的临时文件夹下释放“bk_*.tmp”并调用运行。“bk_*.tmp”运行时,会自我复制到“%SystemRoot%\system32\”文件夹下,重新命名为“blackice.exe”和“kernel.dll”。设置文件属性为“系统、只读、隐藏”,同时修改文件的时间属性,增强了自身的隐蔽性。该恶意程序会将其它的应用程序感染为“病毒释放器”变种m。“病毒释放器”变种m会将恶意代码注入系统中已存在的“explorer.exe”或“taskmgr.exe”中,以此实现隐密地运行。在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件或系统诊断备份等工具,便会尝试将其结束。连接骇客指定的URL,进行下载其它恶意程序等更多恶意操作。
监视系统中新插入的可移动存储设备,一旦发现有移动存储设备接入时,便会在其根文件夹下创建“autorun.inf”(自动播放配置文件)和病毒主程序文件“blackice.exe”,以此实现了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的。“病毒释放器”变种m会删除被感染计算机中存储的“.gho”文件,还会对Word、Excel软件的模板进行感染,从而导致用户在使用这些常用办公软件时出现许多问题,严重地影响了正常的工作和学习。
另外,“病毒释放器”变种m会通过修改被感染系统注册表中现有启动项的方式来实现开机自启。
英文名称:Backdoor/Ghost.bmw
中文名称:“幽灵门”变种bmw
病毒长度:1247980字节
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:35a86bc7ea801b46cf23f455dfe8a60b
特征描述:
Backdoor/Ghost.bmw“幽灵门”变种bmw是“幽灵门”家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“幽灵门”变种bmw运行后,会在被感染计算机系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“*.dll”(文件名为随机6个字符)。该恶意dll文件运行后,会不断尝试与控制端(地址为:mlbb1987.33*.org:7759)进行连接。一旦连接成功,则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作(控制操作包括但不限于:文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等),会给用户的计算机安全造成不同程度的损失。同时,骇客还可以向傀儡主机上传大量的恶意程序,从而对用户构成更加严重的威胁。另外,“幽灵门”变种bmw会在被感染计算机中注册名为“.Net CLR”的系统服务,以此实现后门开机自动运行(服务显示名称为“Microsoft .Net Framework COM+ Support”)。
【编辑推荐】