江民11.2病毒播報:U盤寄生蟲和惡魔棍變種
江民今日提醒您注意:在今天的病毒中Worm/AutoRun.lrl“U盤寄生蟲”變種lrl和Backdoor/Emogen.ew“惡魔棍”變種ew值得關(guān)注。
英文名稱:Worm/AutoRun.lrl
中文名稱:“U盤寄生蟲”變種lrl
病毒長度:24064字節(jié)
病毒類型:蠕蟲
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:901a96bdda1a858ac92e0a04e46ea197
特征描述:
Worm/AutoRun.lrl“U盤寄生蟲”變種lrl是“U盤寄生蟲”家族中的***成員之一,采用“Microsoft Visual C++ 6.0”寫,并且經(jīng)過加殼保護處理。“U盤寄生蟲”變種lrl運行后,會在“%SystemRoot%\system32\”文件夾下釋放經(jīng)過殼保護的惡意DLL組件“*.dll”(文件名從netsvcs服務(wù)組中依次獲取,一般從“6to4”開始),另外還會在臨時文件下釋放惡意驅(qū)動程序“SvcMain.sys”,用以結(jié)束各類安全軟件的自我保護。利用注冊表映像文件劫持,干擾各類安全軟件的正常啟動運行,從而降低了被感染系統(tǒng)的安全性。
“U盤寄生蟲”變種lrl釋放的DLL文件在運行后,會連接駭客指定的URL“http://www.dy20*4.com/msn/mm.txt”,從而進行下載其它惡意程序以及在被感染計算機上訪問指定掛馬頁面的行為,給用戶造成了更大的損失。“U盤寄生蟲”變種lrl可通過移動存儲設(shè)備及網(wǎng)上鄰居進行傳播。其會自我復(fù)制為“[盤符];\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe”,并生成“autorun.inf”文件,從而利用系統(tǒng)的自動播放功能激活自我。
嘗試連接存在弱口令的局域網(wǎng)內(nèi)電腦,一旦連接成功,便會將自身復(fù)制到其“C:\”根目錄下,重新命名為“bootfont.exe”,并利用計劃任務(wù)功能將其激活。“U盤寄生蟲”變種lrl還會對部分?jǐn)U展名為“.exe”、“.asp”、“.htm”、“.html”、“.aspx”及“.RAR”的文件進行感染,從而給用戶造成更多的隱患。另外,“U盤寄生蟲”變種lrl會在被感染計算機中注冊系統(tǒng)服務(wù),以此實現(xiàn)其開機自動運行。
英文名稱:Backdoor/Emogen.ew
中文名稱:“惡魔棍”變種ew
病毒長度:369899字節(jié)
病毒類型:后門
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:35a156f5f6265ef112f6ca28e6c923af
特征描述:
Backdoor/Emogen.ew“惡魔棍”變種ew是“惡魔棍”后門家族中的***成員之一,采用高級語言編寫,并且經(jīng)過加殼保護處理。“惡魔棍”變種ew運行后,會在被感染系統(tǒng)的“%SystemRoot%\system32\”文件夾下釋放經(jīng)過加殼保護的惡意DLL組件“user2.dll”,同時修改文件的時間屬性,以此迷惑用戶。同時會將原病毒文件刪除,以此消除痕跡。“惡魔棍”變種ew釋放的DLL文件在運行后,會不斷嘗試與控制端(地址為:niaoniaokk.33*.org:1987)進行連接。一旦連接成功,則被感染的計算機便會淪為傀儡主機,從而接受駭客的任何控制、操作,嚴(yán)重地侵害了用戶的個人隱私。同時,駭客還可以向傀儡主機上傳大量的惡意程序,從而構(gòu)成更加嚴(yán)重的威脅。另外,“惡魔棍”變種ew會修改系統(tǒng)服務(wù)“BITS”(后臺智能傳輸服務(wù))所調(diào)用的文件指向,從而實現(xiàn)了開機自啟。
【編輯推薦】
