江民10.20病毒播報:病毒釋放器和幽靈門
江民今日提醒您注意:在今天的病毒中Win32/Dropper.m“病毒釋放器”變種m和Backdoor/Ghost.bmw“幽靈門”變種bmw值得關(guān)注。
英文名稱:Win32/Dropper.m
中文名稱:“病毒釋放器”變種m
病毒長度:108032字節(jié)
病毒類型:Windows病毒
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):5581e5e968ee727a135491349d8c1c93
特征描述:
Win32/Dropper.m“病毒釋放器”變種m是“病毒釋放器”Windows病毒家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫,經(jīng)過加殼保護(hù)處理。“病毒釋放器”變種m運(yùn)行后,會在被感染系統(tǒng)的臨時文件夾下釋放“bk_*.tmp”并調(diào)用運(yùn)行。“bk_*.tmp”運(yùn)行時,會自我復(fù)制到“%SystemRoot%\system32\”文件夾下,重新命名為“blackice.exe”和“kernel.dll”。設(shè)置文件屬性為“系統(tǒng)、只讀、隱藏”,同時修改文件的時間屬性,增強(qiáng)了自身的隱蔽性。該惡意程序會將其它的應(yīng)用程序感染為“病毒釋放器”變種m。“病毒釋放器”變種m會將惡意代碼注入系統(tǒng)中已存在的“explorer.exe”或“taskmgr.exe”中,以此實(shí)現(xiàn)隱密地運(yùn)行。在被感染計(jì)算機(jī)的后臺遍歷當(dāng)前系統(tǒng)中所有正在運(yùn)行的進(jìn)程,一旦發(fā)現(xiàn)指定的安全軟件或系統(tǒng)診斷備份等工具,便會嘗試將其結(jié)束。連接駭客指定的URL,進(jìn)行下載其它惡意程序等更多惡意操作。
監(jiān)視系統(tǒng)中新插入的可移動存儲設(shè)備,一旦發(fā)現(xiàn)有移動存儲設(shè)備接入時,便會在其根文件夾下創(chuàng)建“autorun.inf”(自動播放配置文件)和病毒主程序文件“blackice.exe”,以此實(shí)現(xiàn)了利用U盤、移動硬盤、SD卡等移動存儲設(shè)備進(jìn)行自我傳播的目的。“病毒釋放器”變種m會刪除被感染計(jì)算機(jī)中存儲的“.gho”文件,還會對Word、Excel軟件的模板進(jìn)行感染,從而導(dǎo)致用戶在使用這些常用辦公軟件時出現(xiàn)許多問題,嚴(yán)重地影響了正常的工作和學(xué)習(xí)。
另外,“病毒釋放器”變種m會通過修改被感染系統(tǒng)注冊表中現(xiàn)有啟動項(xiàng)的方式來實(shí)現(xiàn)開機(jī)自啟。
英文名稱:Backdoor/Ghost.bmw
中文名稱:“幽靈門”變種bmw
病毒長度:1247980字節(jié)
病毒類型:后門
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):35a86bc7ea801b46cf23f455dfe8a60b
特征描述:
Backdoor/Ghost.bmw“幽靈門”變種bmw是“幽靈門”家族中的最新成員之一,采用高級語言編寫,并且經(jīng)過加殼保護(hù)處理。“幽靈門”變種bmw運(yùn)行后,會在被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\system32\”文件夾下釋放經(jīng)過加殼保護(hù)的惡意DLL組件“*.dll”(文件名為隨機(jī)6個字符)。該惡意dll文件運(yùn)行后,會不斷嘗試與控制端(地址為:mlbb1987.33*.org:7759)進(jìn)行連接。一旦連接成功,則被感染的計(jì)算機(jī)就會淪為傀儡主機(jī)。駭客可以向被感染的計(jì)算機(jī)發(fā)送惡意指令,從而執(zhí)行任意控制操作(控制操作包括但不限于:文件管理、進(jìn)程控制、注冊表操作、服務(wù)管理、遠(yuǎn)程命令執(zhí)行、屏幕監(jiān)控、鍵盤監(jiān)聽、鼠標(biāo)控制、音頻監(jiān)控、視頻監(jiān)控等),會給用戶的計(jì)算機(jī)安全造成不同程度的損失。同時,駭客還可以向傀儡主機(jī)上傳大量的惡意程序,從而對用戶構(gòu)成更加嚴(yán)重的威脅。另外,“幽靈門”變種bmw會在被感染計(jì)算機(jī)中注冊名為“.Net CLR”的系統(tǒng)服務(wù),以此實(shí)現(xiàn)后門開機(jī)自動運(yùn)行(服務(wù)顯示名稱為“Microsoft .Net Framework COM+ Support”)。
【編輯推薦】
