江民今日提醒您注意：在今天的病毒中Trojan/Antavmu.nt“偽程序”變種nt和Backdoor/Beastdoor.bc“獸門”變種bc值得關(guān)注。

英文名稱：Trojan/Antavmu.nt

中文名稱：“偽程序”變種nt

病毒長(zhǎng)度：68176字節(jié)

病毒類型：木馬

危險(xiǎn)級(jí)別：★★

影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003

MD5 校驗(yàn)：e1331c2a8368eaf2822d408d619983a9

特征描述：

Trojan/Antavmu.nt“偽程序”變種nt是“偽程序”木馬家族中的***成員之一，采用“Microsoft Visual C++ 6.0”編寫，并且經(jīng)過加殼保護(hù)處理。“偽程序”變種nt運(yùn)行后，會(huì)創(chuàng)建一個(gè)新的自身進(jìn)程，并將新的惡意程序代碼注入該進(jìn)程，以此執(zhí)行惡意操作。自我復(fù)制到被感染系統(tǒng)的“%USERPROFILE%\Application Data\S03-7323-GEYNAWT-2623-TGAW\”文件夾下，重新命名為“winlogon.exe”，并將該文件夾設(shè)置為“系統(tǒng)回收站”圖標(biāo)，文件夾及文件都設(shè)置為“系統(tǒng)、隱藏、只讀”屬性，以此隱藏自我。在后臺(tái)遍歷當(dāng)前系統(tǒng)中所有正在運(yùn)行的進(jìn)程，一旦發(fā)現(xiàn)指定安全軟件的進(jìn)程便會(huì)嘗試將其結(jié)束。同時(shí)還會(huì)隱藏自身進(jìn)程，使得用戶無法在“Windows任務(wù)管理器”中看到其進(jìn)程，從而達(dá)到了自我保護(hù)的目的。利用域名劫持阻止用戶訪問大量的安全站點(diǎn)，致使用戶無法通過這些站點(diǎn)獲取病毒查殺方面的信息。“偽程序”變種nt會(huì)將自身命名為一些知名軟件的算號(hào)程序，并通過網(wǎng)絡(luò)資源共享軟件進(jìn)行傳播。另外，其還會(huì)通過可移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播。“偽程序”變種nt會(huì)修改注冊(cè)表，致使“顯示系統(tǒng)隱藏文件”的功能失效，同時(shí)會(huì)向多個(gè)注冊(cè)表位置添加名為“Windows Login Assistant”的啟動(dòng)項(xiàng)，以此實(shí)現(xiàn)開機(jī)自動(dòng)運(yùn)行。

英文名稱：Backdoor/Beastdoor.bc

中文名稱：“獸門”變種bc

病毒長(zhǎng)度：30357字節(jié)

病毒類型：后門

危險(xiǎn)級(jí)別：★★

影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003

MD5 校驗(yàn)：ea9da8b0d553df812d987c4ce9c82229

特征描述：

Backdoor/Beastdoor.bc“獸門”變種bc是“獸門”后門家族中的***成員之一，采用“Borland Delphi 6.0 - 7.0”編寫，經(jīng)過加殼保護(hù)處理。“獸門”變種bc運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的“%SystemRoot%\”、“%SystemRoot%\system32\”、“%SystemRoot%\msagent\”文件夾下，分別重新命名為“svchost.exe”、“msunpc.com”、“msqxtq.com”。將以上文件屬性設(shè)置為“系統(tǒng)”，同時(shí)修改文件的時(shí)間屬性（“創(chuàng)建時(shí)間”和“修改時(shí)間”），以此迷惑用戶。“獸門”變種bc運(yùn)行時(shí)，可能會(huì)關(guān)閉“Windows系統(tǒng)防火墻”服務(wù)，并創(chuàng)建名為“beasty”的窗口類，從而防止創(chuàng)建重復(fù)的進(jìn)程。開啟被感染計(jì)算機(jī)的“6666”端口并監(jiān)聽，從而為駭客大開后門。駭客可以對(duì)被感染系統(tǒng)執(zhí)行各種控制，其中包括：文件管理、進(jìn)程控制、注冊(cè)表操作、遠(yuǎn)程命令執(zhí)行、下載其它惡意程序、屏幕監(jiān)控、鼠標(biāo)控制、音頻監(jiān)控、視頻監(jiān)控、鍵盤記錄等，從而對(duì)系統(tǒng)用戶構(gòu)成了嚴(yán)重的威脅。“獸門”變種bc會(huì)將擊鍵信息記錄到文件“mslg.blf”中，并發(fā)送到駭客指定的郵箱中，從而致使用戶的私密信息失竊。另外，“獸門”變種bc會(huì)通過在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值“COM Service”、在“Installed Components”鍵下添加子鍵的方式實(shí)現(xiàn)開機(jī)自啟。

【編輯推薦】

1. 病毒日?qǐng)?bào)- 51CTO.COM
2. 病毒周報(bào)- 51CTO.COM