木马病毒里,我们需要谨慎防范“视频宝宝”变种uyc和“毒露水”变种imc。
英文名称:TrojanDropper.VB.uyc
中文名称:“视频宝宝”变种uyc
病毒长度:102400字节
病毒类型:木马释放器
危险级别:两星
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:23d4edc2b2b13bd0b73cbd9b198fdac0
木马特征描述:
TrojanDropper.VB.uyc“视频宝宝”变种uyc是“视频宝宝”家族中的最新成员之一,采用“VB6.0”编写。“视频宝宝”变种uyc运行后,会在被感染系统的“c:\program files\common files”文件夹下释放图标文件“t.ico”和“d.ico”,在桌面和“c:\Documents and Settings\All Users\[开始] 菜单\”文件夹下释放“internet explorer.hdh”、“在线小游戏.hyx”、“看电影.hpf”、“网上购物.htb”、“上网导航.h35”、“图片新闻.hli”,同时会为这些文件设置相关属性,从而防止被轻易地删除。
在“c:\Program Files”下释放“ZD37TA.exe”,还会在当前目录下释放“网聚.exe”和“jies.bak.vbs”。在注册表中为“*.hdh”、“*.hyx”、“*.hpf”、“*.htb”、“*.h35”、“*.hli”等类型文件建立关联信息,并修改默认图标,从而为这些文件增强了迷惑性。当用户双击这些文件时,会通过IE浏览器自动访问“hxxp://www.hen*cuo.com/?1121 ”、“hxxp://www.d*d.com/?1121”、“hxxp://www.pi*ang.net/?1121”、“hxxp://taobao.l*so.com/?1121”、“hxxp://www.3*s.com/?1121”、“hxxp://www.l*so.com/?1121”,从而增加了访问量。另外,其还会在计算机系统中安装被称为“风影影视”的软件,为其增加了装机量。其释放的“网聚.exe”运行后会弹出一些指定的网站。
另外,“视频宝宝”变种uyc在运行完成后会创建脚本文件并调用运行,以此将自身删除。
英文名称:Trojan/Refroso.imc
中文名称:“毒露水”变种imc
病毒长度:93696字节
病毒类型:木马
危险级别:一星
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:9c17add7a15f459fe090e622da3ad64f
木马特征描述:
Trojan/Refroso.imc“毒露水”变种imc是“毒露水”家族中的最新成员之一,采用“Microsoft CAB SFX”编写。“毒露水”变种imc运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\IXP000.TMP\”文件夹下释放恶意程序“i-2.exe”并调用运行。“i-2.exe”执行后,会自我复制到“%programfiles%\Bifrost\”文件夹中,重新命名为“server.exe”,属性设置成为“隐藏”。“server.exe”属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的站点“jeedo.za*to.org”,获取客户端IP地址,侦听骇客指令,从而达到被骇客远程控制的目的。
该木马具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“毒露水”变种imc的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。
“毒露水”变种imc访问网络时,会在被感染计算机的后台调用系统IE浏览器进程“iexplore.exe”,并把恶意代码注入其中隐秘运行,以此隐藏自我,防止被轻易地查杀。如果被感染的计算机上已安装并启用了防火墙,则该木马会利用防火墙的白名单机制来绕过防火墙的监控,从而达到隐蔽通信的目的。“毒露水”变种imc会在被感染系统注册表启动项中添加键值,以此实现开机自启。
病毒和木马是大家常谈的话题,大家在了解了相关病毒的知识后一定要及时做好防护措施。
【编辑推荐】