江民10.23病毒播报:伪程序和兽门变种病毒

安全
江民今日提醒您注意:在今天的病毒中Trojan/Antavmu.nt“伪程序”变种nt和Backdoor/Beastdoor.bc“兽门”变种bc值得关注。英文名称:Trojan/Antavmu.nt中文名称:“伪程序”变种nt病毒长度:68176字节病毒类型:木马

江民今日提醒您注意:在今天的病毒中Trojan/Antavmu.nt“伪程序”变种nt和Backdoor/Beastdoor.bc“兽门”变种bc值得关注。

英文名称:Trojan/Antavmu.nt

中文名称:“伪程序”变种nt

病毒长度:68176字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:e1331c2a8368eaf2822d408d619983a9

特征描述:

Trojan/Antavmu.nt“伪程序”变种nt是“伪程序”木马家族中的***成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“伪程序”变种nt运行后,会创建一个新的自身进程,并将新的恶意程序代码注入该进程,以此执行恶意操作。自我复制到被感染系统的“%USERPROFILE%\Application Data\S03-7323-GEYNAWT-2623-TGAW\”文件夹下,重新命名为“winlogon.exe”,并将该文件夹设置为“系统回收站”图标,文件夹及文件都设置为“系统、隐藏、只读”属性,以此隐藏自我。在后台遍历当前系统中所有正在运行的进程,一旦发现指定安全软件的进程便会尝试将其结束。同时还会隐藏自身进程,使得用户无法在“Windows任务管理器”中看到其进程,从而达到了自我保护的目的。利用域名劫持阻止用户访问大量的安全站点,致使用户无法通过这些站点获取病毒查杀方面的信息。“伪程序”变种nt会将自身命名为一些知名软件的算号程序,并通过网络资源共享软件进行传播。另外,其还会通过可移动存储设备进行传播。“伪程序”变种nt会修改注册表,致使“显示系统隐藏文件”的功能失效,同时会向多个注册表位置添加名为“Windows Login Assistant”的启动项,以此实现开机自动运行。

英文名称:Backdoor/Beastdoor.bc

中文名称:“兽门”变种bc

病毒长度:30357字节

病毒类型:后门

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:ea9da8b0d553df812d987c4ce9c82229

特征描述:

Backdoor/Beastdoor.bc“兽门”变种bc是“兽门”后门家族中的***成员之一,采用“Borland Delphi 6.0 - 7.0”编写,经过加壳保护处理。“兽门”变种bc运行后,会自我复制到被感染系统的“%SystemRoot%\”、“%SystemRoot%\system32\”、“%SystemRoot%\msagent\”文件夹下,分别重新命名为“svchost.exe”、“msunpc.com”、“msqxtq.com”。将以上文件属性设置为“系统”,同时修改文件的时间属性(“创建时间”和“修改时间”),以此迷惑用户。“兽门”变种bc运行时,可能会关闭“Windows系统防火墙”服务,并创建名为“beasty”的窗口类,从而防止创建重复的进程。开启被感染计算机的“6666”端口并监听,从而为骇客大开后门。骇客可以对被感染系统执行各种控制,其中包括:文件管理、进程控制、注册表操作、远程命令执行、下载其它恶意程序、屏幕监控、鼠标控制、音频监控、视频监控、键盘记录等,从而对系统用户构成了严重的威胁。“兽门”变种bc会将击键信息记录到文件“mslg.blf”中,并发送到骇客指定的邮箱中,从而致使用户的私密信息失窃。另外,“兽门”变种bc会通过在被感染系统注册表启动项中添加键值“COM Service”、在“Installed Components”键下添加子键的方式实现开机自启。

【编辑推荐】

  1. 病毒日报- 51CTO.COM
  2. 病毒周报- 51CTO.COM
责任编辑:安泉 来源: 51CTO.com
相关推荐

2009-10-20 11:19:51

2009-07-02 09:42:06

2009-11-02 12:07:16

病毒

2009-10-22 09:25:44

2010-04-27 08:34:58

2009-11-05 09:57:47

2009-10-25 12:12:08

后门backdoor

2009-03-03 13:31:18

2010-04-20 00:10:42

2011-08-15 14:26:27

2014-05-09 16:04:41

木马

2009-01-05 16:32:27

2010-09-13 14:33:20

2013-10-24 10:12:15

2009-03-11 17:22:27

网页蛀虫广告

2009-10-24 10:16:35

2009-10-27 13:42:07

2009-01-05 16:50:20

2011-09-05 19:03:25

2009-03-30 08:47:53

点赞
收藏

51CTO技术栈公众号