木马病毒—砸波变种znd和卡朵变种dx
中文名称:“砸波”变种znd
病毒长度:606208字节
病毒类型:间谍木马
危险级别:两星
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:cbcdf934cb85d53708761076df59fac7
特征描述:
TrojanSpy.Zbot.znd“砸波”变种znd是“砸波”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“砸波”变种znd运行后,会自我复制到被感染系统的
- “%SystemRoot%\system32\”
文件夹下,重新命名为“sdra64.exe”。还会在被感染系统的
- “%SystemRoot%\system32\lowsec”
文件夹下释放恶意文件
- “user.ds”、“user.ds.lll”、“local.ds”
并将以上文件的属性设置为“系统、隐藏、存档”。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件(“outpost.exe”、“zlclient.exe”)存在,“砸波”变种znd便会尝试将其强行关闭,从而达到自我保护的目的。
“砸波”变种znd运行时,会在被感染系统的后台秘密监视用户的键盘和鼠标操作,伺机窃取用户输入的机密信息,并在后台将窃得的信息发送到骇客指定的站点或邮箱中(地址加密存放),给被感染计算机用户造成了不同程度的损失。还会查找是否存在
- “winlogon.exe”、“svchost.exe”、“explorer.exe”
找到后则打开进程获取模块句柄、获取进程绝对路径判断是否是该病毒要查找的文件路径,若不是则关闭句柄,若是则申请内存空间并从病毒体00400000为起始地址向以上进程中写入数据。其还会在被感染系统的后台连接骇客指定的URL
- “www.bar*uxa.info/images/swf5.bin”
“砸波”变种znd会通过发送垃圾邮件的方式进行自身的传播。另外,其会通过在被感染系统注册表启动项中添加键值、修改登陆初始化内容等多种方式来实现自动运行。
英文名称:TrojanDropper.Cadro.dx
中文名称:“卡朵”变种dx
病毒长度:65536字节
病毒类型:木马释放器
危险级别:一星
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:22fab6e4e6a1dfba251beeb5421dd2fa
特征描述:
TrojanDropper.Cadro.dx“卡朵”变种dx是“卡朵”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“卡朵”变种dx运行后,会在被感染系统的
- “%USERPROFILE%\Local Settings\Temp\angls46r\”
文件夹下释放恶意文件“tmp.exe”、“s.exe”,然后把
- “tmp.exe”、“s.exe”
移动到
- “%SystemRoot%\temp\”和“%SystemRoot%\system32\”
文件夹下并在后台调用运行。“tmp.exe”运行时,会在被感染系统的后台连接骇客指定的站点
- “8475.770*23.cn”、“60.217.*.138”、“sp.dem*en.com”
获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。
卡朵变种dx属于某恶意程序集合中的部分功能组件,如感染此病毒,则说明当前计算机系统中还感染了其它的病毒程序。另外,“卡朵”变种dx会在开始菜单“启动”文件夹下添加名为“ktv.lnk”的快捷方式(指向自身副本),以此实现自动运行。
【编辑推荐】