5.19病毒预警 请小心防范“桌面幽灵”变种fn病毒
病毒名称:Worm/Downloader.fn中 文 名:“桌面幽灵”变种fn
病毒长度:24873字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/Downloader.fn“桌面幽灵”变种fn是“桌面幽灵”蠕虫家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“桌面幽灵”变种fn运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重命名为“c0n1me.exe”。修改注册表,实现蠕虫开机自动运行。启动“iexplore.exe”程序并将病毒代码注入其中并调用运行,隐藏自我,防止被查杀。破坏注册表项,导致用户无法进入安全模式。在所有盘符根目录下创建“autorun.inf”文件和木马主程序“MSDOS.pif”文件,实现双击盘符启动“桌面幽灵”变种fn病毒程序运行的目的。修改注册表,进行映像劫持,导致大量安全软件无法运行。在后台秘密监视用户打开的窗口标题,一旦发现QQ聊天窗口则将自身作为文件发送给好友,实现即时通讯工具传播。查找并强行关闭大量安全软件,极大地降低了被感染计算机的安全性。另外,“桌面幽灵”变种fn还会在后台连接骇客指定站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。
TrojanSpy.Banker.krx“网银窃贼”变种krx
病毒名称:TrojanSpy.Banker.krx中 文 名:“网银窃贼”变种krx
病毒类型:间谍类木马
病毒长度:1900544字节
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Banker.krx“网银窃贼”变种krx是“网银窃贼”木马家族的最新成员之一,采用Delphi语言编写,并经过加壳处理。“网银窃贼”变种krx运行后,自我复制到被感染计算机系统指定的文件夹里。修改注册表,实现木马开机自动运行。在被感染计算机的后台监控用户的键盘和鼠标操作,窃取用户输入的帐号、密码和网站地址等信息,并将窃取到的机密信息发送到骇客指定的服务器上。从被感染计算机上搜索有效的邮箱地址,利用被感染的计算机群发带毒邮件。在被感染计算机的后台连接骇客指定站点,下载恶意程序并自动调用运行,大大降低了被感染计算机上的安全性。
5月20日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/CallBeep.Gen“盗游贼”变种和TrojanSpy.Agent.exy“代理木马”变种exy值得关注。病毒名称:Trojan/CallBeep.Gen
中 文 名:“盗游贼”变种
病毒长度:16877字节
病毒类型:木马
危害等级:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/CallBeep.Gen“盗游贼”变种是木马家族的最新成员之一,采用VC++ 6.0编写,并经过加壳处理。“盗游贼”变种运行后,在被感染计算机系统的临时文件夹下释放恶意驱动文件和恶意DLL组件文件,并将释放出来的这两个恶意文件复制到系统%SystemRoot%\system32\目录下重新命名。修改注册表,实现木马开机自动运行。将恶意驱动文件注册为系统服务,破坏系统“SSDT HOOK”,从而使部分安全软件的保护功能失效,达到躲避某些安全软件的防御和查杀的目的。把恶意DLL组件文件插入到所有用户级权限的进程中加载运行,隐藏自我,防止被查杀。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。
病毒名称:TrojanSpy.Agent.exy
中 文 名:“代理木马”变种exy
病毒长度:297472字节
病毒类型:间谍类木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Agent.exy“代理木马”变种exy是“代理木马”木马家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“代理木马”变种exy运行后,启动“calc.exe”和“IEXPLORE.EXE”,并将病毒代码注入其中运行,隐藏自我,防止被查杀。自我复制到被感染计算机系统盘的“\Program Files\”目录和“%SystemRoot%\system32\”目录下并重新命名。在各个盘符根目录下创建“autorun.inf”文件和病毒文件“synn.exe”,实现双击盘符启动“代理木马”变种exy运行。在被感染计算机系统后台秘密监视用户的键盘操作,窃取用户输入的账号、密码等机密信息,并将机密信息发送到骇客指定的服务器上,给用户带来不同程度的损失。另外,“代理木马”变种exy还能与骇客指定的服务器建立网络连接,侦听骇客的指令。骇客可通过“代理木马”变种exy远程完全控制被感染的计算机,从而严重威胁用户计算机信息安全。
北京网络行业协会、江民科技联合发布5月21日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/BHO.btt“BHO劫持者”变种btt和Trojan/PSW.OnLineGames.tsd“网游窃贼”变种tsd值得关注。病毒名称:Trojan/BHO.btt
中 文 名:“BHO劫持者”变种btt
病毒长度:139264字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/BHO.btt“BHO劫持者”变种btt是“BHO劫持者”木马家族的最新成员之一,采用VC++编写。“BHO劫持者”变种btt运行后,自我注册为浏览器辅助对象(BHO),随系统浏览器的启动而自动加载运行。在被感染计算机系统“%SystemRoot%\system32\drivers”目录下释放恶意驱动程序“acpidisk.sys”并加载运行,此驱动程序实现开机自动加载,并且能够加载、保护病毒程序。用户计算机系统一旦感染该病毒,则很难清除干净。在后台秘密监视用户的操作,一旦发现用户使用IE浏览器便自动弹出网页窗口,影响用户的正常使用。在被感染计算机系统后台连接骇客指定站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。
病毒名称:Trojan/PSW.OnLineGames.tsd
中 文 名:“网游窃贼”变种tsd
病毒长度:11074字节
病毒类型:木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.OnLineGames.tsd“网游窃贼”变种tsd是“网游窃贼”木马家族的最新成员之一,主功能组件程序为DLL文件,采用VC++ 6.0编写,并经过加壳保护处理。“网游窃贼”变种tsd运行后,将DLL组件程序插入到被感染计算机的系统“explorer.exe”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《大话西游II》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使《大话西游II》玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。
“穿孔贼”暴增232% 谨防地震视频传播木马
根据江民反病毒中心监测统计,2008年5月12日到2008年5月18日,江民反病毒中心共截获病毒29928种,全国共有676414台计算机感染了病毒,较上周下降了8.03%。监测结果显示,本周“穿孔贼”变种(DLL)病毒暴增232%。上周最新发现的“穿孔贼”变种(DLL)病毒以4513台的感染量位列病毒排行榜第十六位,仅短短一周的时间,病毒感染量就暴增到14988台,并荣登病毒排行榜亚军。该病毒会盗取《梦幻西游》等多款网络游戏玩家的登陆帐号、并在后台将窃取到的这些信息发送到骇客指定的远程服务器站点上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。
本周在四川汶川县发生了8.0级特大地震,人们纷纷通过网络搜索关于汶川的地震视频和图片,而一些不法分子却打起了借机传播木马的歪主意,在网上大肆发布名为震区灾情视频的带毒链接,不明真象的用户一旦点击相关链接,电脑即中毒,轻则电脑系统严重受损,重则被人远程控制,电脑中所有私密信息随时面临被盗危险。2008奥运会网络与信息安全特聘专家,江民科技董事长王江民提醒广大电脑用户,如需要了解具体的震区灾情,可以及时通过新华网等正规的官方及门户网站了解,务必不要随意点击论坛或是贴吧上那些不明网站和链接。
本周监测发现共感染计算机676414台,其中木马病毒共感染计算机513432台,占病毒总数的75.9%;其他类病毒共感染计算机58211台,占病毒总数的8.60%;后门类病毒有明显上升趋势,共感染计算机37729台,较上周上升了25.18%,占病毒总数的5.57%;蠕虫类病毒共感染计算机27110台,占病毒总数的4.00%;漏洞攻击类病毒共感染计算机4505台,占病毒总数的0.66%;脚本病毒感染877台,占病毒总数的0.12%;宏病毒感染28台,占病毒总数的0.01%。
上周值得关注的典型病毒:“穿孔贼”变种(DLL)和“小迷糊”变种qqf
病毒名称:Trojan/Ck88866.DLL.Gen
中 文 名:“穿孔贼”变种(DLL)
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.GameDLL.Gen“穿孔贼”变种(DLL)是木马家族的最新成员之一,主功能组件程序为DLL文件,采用VC++ 6.0编写,并经过加壳保护处理。“穿孔贼”变种(DLL)运行后,会将DLL组件程序插入到被感染计算机系统的“explorer.exe”等进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取《梦幻西游》等多款网络游戏玩家的登陆帐号、登陆密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将窃取到的这些信息发送到骇客指定的远程服务器站点上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。
病毒名称:Trojan/Obfuscated.qqf
中 文 名:“小迷糊”变种qqf
病毒长度:28160字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Obfuscated.qqf“小迷糊”变种qqf是“小迷糊”木马家族的最新成员之一,采用汇编语言编写,并经过添加保护壳处理。“小迷糊”变种qqf运行后,自我复制到被感染计算机系统盘的“Documents and Settings\All Users\Application Data\”目录下,文件名随机生成。修改注册表,实现木马开机自动运行。连接骇客指定的远程服务器站点,侦听骇客的指令,进行恶意操作,导致被感染计算机被骇客远程完全控制。另外,“小迷糊”变种qqf还会在被感染计算机上下载更多的恶意程序,给用户带来损失。
北京网络行业协会、江民科技联合发布5月22日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/Monder.c“摩登王”变种c和TrojanDownloader.V163.Gen“163反杀贼”变种值得关注。病毒名称:Trojan/Monder.c
中 文 名:“摩登王”变种c
病毒长度:60688字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Monder.c“摩登王”变种c是“摩登王”木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“摩登王”变种c运行后,在被感染计算机系统“%SystemRoot%\system32\”目录下释放病毒DLL组件,文件名称由8位随机字符组成。修改注册表,实现木马开机自动运行。将病毒代码注入到“winlogon.exe”和“explorer.exe”中并调用运行,隐藏自我,躲避某些安全软件的查杀。通过提升自身权限、强行篡改注册表键值等方法查找并强行关闭大量流行的安全软件、浏览器辅助安全插件等,并且可能会卸载某些安全软件,极大地降低了被感染计算机系统的安全性。在后台秘密收集被感染计算机的系统信息并发送到骇客指定的服务器上。从骇客指定站点下载恶意程序并在被感染计算机上自动调用运行,给被感染计算机用户带来不同程度的损失。
病毒名称:TrojanDownloader.V163.Gen
中 文 名:“163反杀贼”变种
病毒长度:24576字节
病毒类型:木马下载器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.V163.Gen“163反杀贼”变种是“163反杀贼”木马家族的最新成员之一,采用Visual C++ 6.0编写,并经过加壳保护处理。“163反杀贼”变种运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,并重新命名为“tcpip.exe”。自我注册为系统服务,实现“163反杀贼”变种开机自动运行。在被感染计算机系统的后台搜索某些与安全相关的进程,一旦发现便将其强行关闭,达到自我保护的目的。将恶意可执行代码分别注入到系统IE浏览器进程“IEXPLORE.EXE”和系统桌面程序进程“explorer.exe”中,然后调用执行恶意操作。在被感染计算机系统的后台连接骇客指定的远程服务器站点,获取其它恶意程序的加密下载地址列表,然后执行下载“列表”中的全部恶意程序并自动调用安装运行。另外,“163反杀贼”变种具有躲避部分安全软件的查杀和防火墙监控的功能。
江民奥运网络安保小组在行动
5月20日,江民奥运网络安全保卫小组接到有关部门指示,某信息网被黑客入侵,要求及时前往处理。接到任务后,江民奥运网络安全保卫小组成员立即行动,第一时间赶到事故现场。经分析,该网站系WINDOWS系统服务器,采用了IIS+ASP+sqlserver2000架构,网站数据库中记录大多被恶意修改加入了JS脚本程序,并被利用IFRAME引用了某恶意页面,初步断定被利用了Sql注入漏洞对数据库进行了恶意修改所致。
江民奥运网络安全保卫小组成员通过使用Sql注入扫描工具,发现网站存在一处Sql注入漏洞,立即手工修改其网站源代码对漏洞进行了修补,阻止了黑客入侵的主要途径。通过检查,还发现了该网站存在多处安全隐患:
第一、网站服务器上存在多个.bak的源程序备份,通过浏览器访问此BAK文件可以直接查看程序的源代码。
第二、网站服务器上存在多个包含数据库用户名以及密码的TXT文件,通过浏览器访问这些TXT文件,可以直接得到SqlServer 数据库的登录帐号以及密码。
第三、Sqlserver帐号权限过大,通过Sql注入漏洞可以直接得到服务器的管理员权限。
第四、网站服务器未做任何安全设置,本地安全策略也未启用。
针对以上安全隐患,江民奥运网络安全保卫小组向该网站负责人提出以下几点安全建议:
1 删除网站服务器上多个源文件目录下存在的备份文件:*.bak.
2 将保存数据库用户名和密码的纯文本文件txt移到安全地方,不能存放在服务器目录下;
3 限制数据库服务器用户的权限;
4 给本地访问提出设置安全策略的意见和建议,特别是IP地址段,协议的限制与放行等;不开启无关的服务SERVICES.
某信息网采纳了江民奥运网络安全保卫小组的安全建议,加固了服务器系统和数据库安全,封堵了黑客的入侵途径,保障了该信息网站的安全通畅运行。
北京网络行业协会、江民科技联合发布5月23日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/Srizbi.c“斯瑞波”变种c和Trojan/PSW.Magania.che“玛格尼亚”变种che值得关注。病毒名称:Trojan/Srizbi.c
中 文 名:“斯瑞波”变种c
病毒长度:159744字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Srizbi.c“斯瑞波”变种c是“斯瑞波”木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“斯瑞波”变种c运行后,在被感染计算机系统“%SystemRoot%\system32\drivers”目录下释放恶意驱动程序“grande48.sys”并加载运行。将恶意驱动程序添加为系统服务,实现木马开机自动运行,然后创建批处理文件删除自身。该病毒的独特之处在于病毒的功能完全由“grande48.sys”恶意驱动程序在内核中实现。恶意驱动程序采用高级RootKit技术编写而成,隐藏自我并试图删除日志文件,使用户难以发觉病毒的存在。连接骇客指定的服务器下载有效的邮箱地址,利用被感染的计算机发送大量垃圾邮件。隐藏自身所有的网络活动,躲避某些防火墙程序及安全软件的监测,大大降低被感染计算机上的安全性。另外,“斯瑞波”变种c在Windows安全模式下也会被加载运行,一旦用户计算机系统感染该病毒,则很难清除干净。
病毒名称:Trojan/PSW.Magania.che
中 文 名:“玛格尼亚”变种che
病毒长度:125662字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.che“玛格尼亚”变种che是“玛格尼亚”木马家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“玛格尼亚”变种che运行后,在“%SystemRoot%\help\”目录下释放组件文件“B41346EFA848.dll”。修改注册表,实现木马开机自启动。采用HOOK技术和内存截取技术在被感染计算机的后台监视用户的键盘、鼠标动作,盗取《黄易群侠传》、《天堂》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“玛格尼亚”变种che还会在被感染计算机上下载更多的恶意软件、网游木马等,给网络游戏玩家带来极大的损失。
北京网络行业协会、江民科技联合发布5月24日病毒播报
江民今日提醒您注意:在今天的病毒中Exploit.HTML.Ascii.e“毒瘤”变种e和Trojan/Delf.eeu“Trojan/Delf”变种eeu值得关注。病毒名称:Exploit.HTML.Ascii.e
中 文 名:“毒瘤”变种e
病毒长度:4424字节
病毒类型:脚本病毒
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Exploit.HTML.Ascii.e“毒瘤”变种e是“毒瘤”脚本病毒家族的最新成员之一,采用javascript脚本语言编写,并且经过加密处理,利用“迅雷”中的漏洞传播其它病毒。“毒瘤”变种e一般内嵌在正常网页中,如果用户计算机没有及时安装“迅雷”下载软件发布的相应漏洞补丁,那么当用户使用浏览器访问带有“毒瘤”变种e的恶意网页时,就会在当前用户计算机的后台连接骇客指定的远程服务器站点,下载大量恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能为是网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
病毒名称:Trojan/Delf.eeu
中 文 名:“Trojan/Delf”变种eeu
病毒长度:58752字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Delf.eeu“Trojan/Delf”变种eeu是“Trojan/Delf”木马家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“Trojan/Delf”变种eeu运行后,自我复制到被感染计算机的系统盘根目录下,并重新命名为“NTDUBECT.EXE”。在“%SystemRoot%”目录下释放病毒程序“ctfmon.exe”。将“ctfmon.exe”注册为系统服务,实现木马开机自启动。强行篡改被感染计算机上的系统时间,致使某些安全软件失效。查找并强行关闭大量的安全软件,并且可能会卸载某款安全软件。使用“net stop”命令关闭Windows安全中心、Windows防火墙及系统还原,极大地降低了被感染计算机的安全性。与骇客指定的服务器建立网络连接,骇客可通过“Trojan/Delf”变种eeu远程控制被感染计算机系统,窃取用户机密信息。另外,“Trojan/Delf”变种eeu会在被感染计算机所在的局域网上利用密码字典破解弱密码,搜索有漏洞的计算机,一旦发现便从骇客指定的服务器下载恶意程序并在有漏洞的用户计算机上运行。
北京网络行业协会、江民科技联合发布5月25日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/ARP.a“ARP魔鬼”变种a和Trojan/PSW.OnLineGames.tse“网游窃贼”变种tse值得关注。病毒名称:Trojan/ARP.a
中 文 名:“ARP魔鬼”变种a
病毒长度:268311字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/ARP.a“ARP魔鬼”变种a是“ARP魔鬼”木马家族的最新成员之一,采用Delphi 6.0 - 7.0编写,并经过加壳处理。“ARP魔鬼”变种a运行后,在被感染计算机系统的“%SystemRoot%\system32\”目录下,释放多个恶意DLL功能组件程序文件,并将文件属性设置为只读、系统、隐藏。在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放一个恶意驱动程序文件“pop.sys”(文件属性为:只读、系统、隐藏)。在被感染计算机系统的后台以服务的方式安装启动恶意驱动程序“pop.sys”,然后利用该恶意驱动程序和其它恶意DLL组件程序在被感染计算机系统的后台执行恶意操作。修改注册表,实现木马开机自动运行。利用被感染的计算机冒充其所在局域网中的主机网关,然后对其所在的整个局域网络中的计算机进行ARP欺骗攻击等操作。“ARP魔鬼”变种a能够在局域网中挂马、达到传播其它恶意网站广告或恶意病毒程序等功能。感染了“ARP魔鬼”变种a的局域网会造成网络堵塞,网速变慢,用户(局域网中没有安装ARP防火墙的计算机用户)使用浏览器上网会莫名其妙地弹出广告窗口等,严重干扰用户正常上网和办公等。
病毒名称:Trojan/PSW.OnLineGames.tse
中 文 名:“网游窃贼”变种tse
病毒长度:20326字节
病毒类型:木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.OnLineGames.tse“网游窃贼”变种tse是“网游窃贼”木马家族的最新成员之一,采用Delphi语言编写,并经过加壳保护处理。“网游窃贼”变种tse运行后,自我插入到被感染计算机的系统“explorer.exe”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《暗黑破坏神》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使《暗黑破坏神》玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来极大的损失。
北京网络行业协会、江民科技联合发布5月26日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/Inject.nz“植木马器”变种nz和Win32/Downloader.al“盗游器”变种al值得关注。病毒名称:Trojan/Inject.nz
中 文 名:“植木马器”变种nz
病毒长度:43008字节
病毒类型:木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Inject.nz“植木马器”变种nz是“植木马器”木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“植木马器”变种nz运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重命名为“Ir32_a.exe”。修改注册表,实现木马开机自动运行。定期检查相关内容,防止被用户更改。将病毒代码注入到“explorer.exe”进程中调用运行,隐藏自我,防止被查杀。在被感染计算机后台连接骇客指定站点,下载恶意程序并自动调用运行。其中,所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。另外,“植木马器”变种nz还可能与骇客指定的服务器建立网络连接,侦听骇客的指令,致使骇客可通过“植木马器”变种nz远程控制被感染计算机,从而严重威胁用户计算机信息安全。
病毒名称:Win32/Downloader.al
中 文 名:“盗游器”变种al
病毒长度:59777字节
病毒类型:感染性病毒
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Win32/Downloader.al“盗游器”变种al是“盗游器”感染性病毒家族的最新成员之一,采用VC++编写,并经过添加保护壳处理。“盗游器”变种al运行后,自我复制到被感染计算机系统“%SystemRoot%\system32”目录下,重命名为“mscrss.exe”,并在同一目录下释放病毒组件“mscrss.dll”。自我注册为系统服务,实现“盗游器”变种al开机自动运行。遍历所有磁盘分区,感染除某些指定程序以外的绝大部分*.exe文件。在各个盘符的“Config.Msi”目录下释放病毒文件“mscrss.exe”,并在各个盘符根目录下创建“autorun.inf”文件,实现双击盘符启动“盗游器”变种al运行。查找并强行关闭某些安全软件,大大降低了被感染计算机上的安全性。查找并感染磁盘中后缀名为cgi、php、jsp、asp、html、htm的文件,利用这些文件进行网页挂马。另外,“盗游器”变种al还会连接骇客指定站点,下载恶意程序并自动安装运行,给用户带来一定程度的危害。
北京网络行业协会、江民科技联合发布5月27日病毒播报
江民今日提醒您注意:在今天的病毒中TrojanSpy.Pophot.tr“焦点间谍”变种tr和TrojanDropper.Driver.a“驱动杀手”变种a值得关注。病毒名称:TrojanSpy.Pophot.tr
中 文 名:“焦点间谍”变种tr
病毒长度:63744字节
病毒类型:间谍类木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.tr“焦点间谍”变种tr是“焦点间谍”木马家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“焦点间谍”变种tr运行后,自我复制到被感染计算机系统的“%SystemRoot%\system”目录下,重命名为“lljy080517.exe”,并在同一目录下释放病毒组件“lljy32.dll”。修改注册表,实现木马开机自动运行。强行篡改被感染计算机上的系统时间,致使某些安全软件失效。在被感染的计算机上搜索与安全相关的软件,一旦发现便强行将其关闭,大大降低了被感染计算机上的安全性。在后台连接骇客指定的服务器,下载恶意程序并自动调用运行,给用户带来一定程度的危害。另外,“焦点间谍”变种tr可能会在各个盘符根目录下创建“autorun.inf”文件以及病毒文件“auto.exe”,实现双击盘符启动“焦点间谍”变种tr运行。
病毒名称:TrojanDropper.Driver.a
中 文 名:“驱动杀手”变种a
病毒长度:19781字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Driver.a“驱动杀手”变种a是“驱动杀手”木马家族的最新成员之一,采用VC++ 6.0编写,并经过加壳处理。“驱动杀手”变种a运行后,在被感染计算机上释放多个恶意DLL组件文件,并将文件属性设置为系统、隐藏、存档。在被感染计算机系统的后台将“%SystemRoot%\system32\drivers\”目录下的驱动文件“beep.sys”替换成恶意驱动程序,并将恶意驱动程序自我注册为系统服务,还原系统“SSDT HOOK”,从而使部分安全软件的保护功能失效,达到躲避安全软件的防御和查杀的目的。该恶意驱动程序执行完毕后会自我删除,并还原恢复被病毒替换的系统驱动文件“beep.sys”。修改注册表,实现木马开机自动运行。将恶意DLL组件程序插入到所有用户级权限的进程中加载运行,隐藏自我,防止被查杀。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《大话西游II》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“驱动杀手”变种a还具有躲避防火墙监控的功能,大大降低被感染计算机上的安全性。
北京网络行业协会、江民科技联合发布5月28日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/PSW.QQRobber.adw“QQ抢劫犯”变种adw和TrojanSpy.Agent.epb“代理木马”变种epb值得关注。病毒名称:Trojan/PSW.QQRobber.adw
中 文 名:“QQ抢劫犯”变种adw
病毒长度:38014字节
病毒类型:木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQRobber.adw“QQ抢劫犯”变种adw是“QQ抢劫犯”木马家族的最新成员之一,采用Delphi语言编写,并经过加保护壳处理。“QQ抢劫犯”变种adw运行后,自我复制到被感染计算机系统的“启动”目录下,重命名为“系统补丁*.exe”(其中*号代表被感染计算机的名称)。修改注册表,实现木马开机自动运行。在“Program Files\Common Files\Microsoft Shared\MSInfo\”目录下释放病毒组件“atmQQ2.dll”。将“atmQQ2.dll”插入到所有用户进程中加载运行,隐藏自我,防止被查杀。强行篡改被感染计算机上的系统时间,致使某款安全软件功能失效。在被感染的计算机上搜索某些与安全相关的软件,一旦发现便强行将其关闭,大大降低被感染计算机上的安全性。删除“QQDoctor.exe”文件,防止QQ登陆前查杀木马。在被感染计算机后台秘密监视用户的操作,当用户登陆QQ时利用HOOK技术记录用户的键盘操作,盗取QQ用户名及其密码,并发送到骇客指定的远程服务器上,给用户造成一定的损失。
病毒名称:TrojanSpy.Agent.epb
中 文 名:“代理木马”变种epb
病毒长度:20480字节
病毒类型:间谍类木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Agent.epb“代理木马”变种epb是“代理木马”木马家族的最新成员之一,采用VC++ 6.0编写,并经过加壳保护处理。“代理木马”变种epb运行后,自我插入到被感染计算机的系统“RUNDLL32.EXE”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统中的“%SystemRoot%\system32\drivers\”目录下释放恶意驱动文件“hbkernel.sys”,并将其注册为系统服务,用来还原系统“SSDT HOOK”,从而使部分安全软件的保护功能失效,达到躲避安全软件的防御和查杀的目的。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《梦幻西游》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。
北京网络行业协会、江民科技联合发布5月29日病毒播报
江民今日提醒您注意:在今天的病毒中Rootkit.Vanti.ezi“顽梯”变种ezi和Trojan/PSW.OnLineGames.tsg“网游窃贼”变种tsg值得关注。病毒名称:Rootkit.Vanti.ezi
中 文 名:“顽梯”变种ezi
病毒长度:13920字节
病毒类型:恶意驱动程序
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Rootkit.Vanti.ezi“顽梯”变种ezi是“顽梯”恶意驱动程序家族的最新成员之一,采用C语言编写,一般以系统服务的方式来运行。“顽梯”变种ezi运行后,执行还原系统“SSDT HOOK”的操作,致使部分安全软件的防御系统和监控系统失效,从而达到木马免杀和躲避监控的目的。在系统SSDT中挂钩某些关键函数,隐藏自我,保护病毒傀儡进程“RUNDLL32.EXE” 句柄,防止该进程被用户关闭掉。“顽梯”变种ezi属于恶意程序集合中的一个功能模块,伴随着该木马程序模块,还会有很多其它恶意程序模块一起安装到了被感染计算机系统中。用户计算机一旦感染了该类病毒,那么很难彻底清除干净,给用户带来不同程度的损失。
病毒名称:Trojan/PSW.OnLineGames.tsg
中 文 名:“网游窃贼”变种tsg
病毒长度:9614字节
病毒类型:木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.OnLineGames.tsg“网游窃贼”变种tsg是“网游窃贼”木马家族的最新成员之一,采用VC++ 6.0编写,并经过加壳保护处理。“网游窃贼”变种tsg运行后,自我插入到被感染计算机的系统“explorer.exe”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《QQ华夏》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器站点上,致使《QQ华夏》游戏玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“网游窃贼”变种tsg还具有反部分安全软件的功能,防止被安全软件监视和查杀,大大降低了被感染计算机上的安全性。
北京网络行业协会、江民科技联合发布5月30日病毒播报
江民今日提醒您注意:在今天的病毒中TrojanDownloader.Losabel.aq“露萨”变种aq值得关注。病毒名称:TrojanDownloader.Losabel.aq
中 文 名:“露萨”变种aq
病毒长度:76288字节
病毒类型:木马下载器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Losabel.aq“露萨”变种aq是“露萨”木马家族的最新成员之一,采用Delphi语言编写,并经过加壳处理。“露萨”变种aq运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,并重命名为“Mousie.exe”。在被感染计算机系统的后台秘密监视正在运行的进程名和已打开的窗口标题,一旦发现某些安全软件程序正在运行,马上将其强行关闭。破坏注册表项,致使无法显示隐藏文件。遍历用户计算机的C到Z驱动器,创建病毒副本,利用U盘、移动硬盘等移动设备进行传播。在被感染计算机系统的后台连接骇客指定站点,获取恶意程序的下载地址列表,在被感染的计算机上下载所有的恶意程序并自动调用运行。强行篡改注册表,实现进程映像劫持,导致用户运行某些安全程序时实际上运行的是“露萨”变种aq主程序,甚至系统自带的任务管理器也无法正常运行。“露萨”变种aq执行安装程序完毕后会自我删除。另外,“露萨”变种aq还可以自升级。
北京网络行业协会、江民科技联合发布5月31日病毒播报
江民今日提醒您注意:在今天的病毒中Exploit.JS.Real.ab“Real蛀虫”变种ab和I-Worm/Zhelatin.bmr“哲拉蒂”变种bmr值得关注。病毒名称:Exploit.JS.Real.ab
中 文 名:“Real蛀虫”变种ab
病毒长度:3890字节
病毒类型:脚本病毒
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Exploit.JS.Real.ab“Real蛀虫”变种ab是“Real蛀虫”脚本病毒家族的最新成员之一,采用javascript脚本语言编写,并且经过加密处理,利用Real Player媒体播放器中的漏洞传播其它病毒。“Real蛀虫”变种ab一般内嵌在正常网页中,如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁,那么当用户使用浏览器访问带有“Real蛀虫”变种ab的恶意网页时,就会在当前用户计算机的后台连接骇客指定站点,下载大量恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能为是网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
病毒名称:I-Worm/Zhelatin.bmr
中 文 名:“哲拉蒂”变种bmr
病毒长度:152576字节
病毒类型:网络蠕虫
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
I-Worm/Zhelatin.bmr“哲拉蒂”变种bmr是“哲拉蒂”网络蠕虫家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“哲拉蒂”变种bmr运行后,自我复制到被感染计算机系统的“%SystemRoot%\”目录下,重命名为“herjek.exe”,并在相同目录下创建病毒的配置信息文件“herjek.config”。修改注册表,实现蠕虫开机自动运行。从被感染的计算机上搜索有效的邮箱地址,利用被感染的计算机群发带毒邮件。在被感染计算机的后台连接骇客指定站点,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。 另外,“哲拉蒂”变种bmr还可以在任意端口号开启后门,连接骇客指定站点,侦听骇客指令,骇客可通过“哲拉蒂”变种bmr远程控制被感染计算机系统,进行恶意操作。
北京网络行业协会、江民科技联合发布6月1日病毒播报
江民今日提醒您注意:在今天的病毒中TrojanDownloader.ConHook.km“假钩子”变种km和Trojan/PSW.Magania.chr“玛格尼亚”变种chr值得关注。病毒名称:TrojanDownloader.ConHook.km
中 文 名:“假钩子”变种km
病毒长度:29312字节
病毒类型:木马下载器
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.ConHook.km“假钩子”变种km是“假钩子”木马家族的最新成员之一,采用高级语言编写,并经过加壳处理。“假钩子”变种km是由其它病毒体释放出的DLL病毒组件,一般被注册为浏览器辅助插件(BHO),随IE浏览器启动而加载运行。“假钩子”变种km运行后,提升自身权限,强行关闭某些安全软件,大大降低了被感染计算机上的安全性。不定时弹出广告窗口,影响用户的正常使用。广告窗口可能带有谎报系统漏洞的信息,欺骗用户购买指定的“修复软件”,而“修复软件”很可能是会破坏计算机系统的恶意程序。在被感染计算机系统的后台连接骇客指定站点,获取恶意程序的下载地址列表并下载所有的恶意程序。其中,所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等,给被感染计算机用户带来不同程度的损失。另外,“假钩子”变种km还会收集用户计算机的系统类型、用户名、浏览器类型等基本信息,并将收集到的有效信息发送到骇客指定的远程服务器上,给用户带来损失。
病毒名称:Trojan/PSW.Magania.chr
中 文 名:“玛格尼亚”变种chr
病毒长度:121626字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.chr“玛格尼亚”变种chr是“玛格尼亚”木马家族的最新成员之一,采用Delphi语言编写,并经过添加保护壳处理。“玛格尼亚”变种chr运行后,在“%SystemRoot%\help\”目录下释放“F3C74E3FA248.dll”组件。修改注册表,实现木马开机自动运行。采用HOOK技术和内存截取技术在被感染计算机的后台监视用户的键盘和鼠标操作,盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、游戏区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“玛格尼亚”变种chr还会下载更多的恶意程序、网游木马等,给网络游戏玩家带来非常大的损失。
北京网络行业协会、江民科技联合发布6月2日病毒播报
江民今日提醒您注意:在今天的病毒中TrojanSpy.Goldun.mu“金盾”变种mu和Backdoor/Huigezi.rvh“灰鸽子”变种rvh值得关注。病毒名称:TrojanSpy.Goldun.mu
中 文 名:“金盾”变种mu
病毒长度:12800字节
病毒类型:间谍类木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Goldun.mu“金盾”变种mu是“金盾”木马家族的最新成员之一,由其它病毒体释放出来的DLL病毒组件,采用高级语言编写,并经过加壳保护处理,一般会被注入到某些进程中运行以隐藏自我,防止被查杀。“金盾”变种mu运行后,检测自身是否运行于“explorer.exe”进程中,如果是则进行恶意操作。自我注册为浏览器辅助对象(BHO),实现木马随IE浏览器的启动而自动加载运行。在被感染计算机后台秘密监视系统的IE浏览器窗口,通过记录用户键击和自动读取分析网页代码提交表单的方式盗取某个在线交易网站会员的帐户信息(用户名、用户密码等),并且会将窃取到的这些机密信息发送到骇客指定的远程服务器站点上,给网上交易用户带来极大的损失。另外,“金盾”变种mu还会将自身的版权信息伪装成“Microsoft”的版权信息,防止被用户发现。
病毒名称:Backdoor/Huigezi.rvh
中 文 名:“灰鸽子”变种rvh
病毒长度:15360字节
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Backdoor/Huigezi.rvh“灰鸽子”变种rvh是“灰鸽子”后门家族的最新成员之一,采用Visual C++ 6.0编写,并经过加壳保护处理。“灰鸽子”变种rvh运行后,自我复制到被感染计算机系统中的“%SystemRoot%\system32\”目录下,并重新命名为“RacMondY.exe”,文件属性设置为系统、隐藏。自我注册为系统服务,并以服务的方式在被感染计算机系统的后台运行,实现“灰鸽子”变种rvh开机自动运行。修改自身进程的“PEB”结构表,把自己伪装成系统“svchost.exe”进程,连接网络进行秘密通信,以便躲避某些防火墙的监控。连接骇客指定的远程服务器站点,获取被感染计算机上真实的地址。骇客可通过“灰鸽子”变种rvh远程完全控制被感染的计算机,窃取用户计算机里所有的机密信息,致使被感染的计算机成为网络僵尸,严重威胁用户私密信息安全。另外,“灰鸽子”变种rvh不仅具有自升级功能,而且执行完毕后会自我删除。
北京网络行业协会、江民科技联合发布6月3日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/PSW.Agent.fql“代理木马”变种fql和Trojan/PSW.OnLineGames.tsh“网游窃贼”变种tsh值得关注。病毒名称:Trojan/PSW.Agent.fql
中 文 名:“代理木马”变种fql
病毒长度:20480字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.fql“代理木马”变种fql是“代理木马”木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“代理木马”变种fql运行后,在临时文件夹下释放恶意DLL组件文件“*.tmp”;在“%SystemRoot%\system32\”目录下释放恶意DLL组件文件“HBKrnl.dll”;在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动文件“hbkernel.sys”;在“%SystemRoot%\”目录下创建一个更新信息配置记录文件“Update.dat”。修改注册表,实现木马开机自动运行。在被感染计算机的后台调用系统“rundll32.exe”进程,迫使该进程调用恶意DLL组件文件“HBKrnl.dll”来执行恶意操作,以隐藏自我,防止被查杀。将“hbkernel.sys”注册为系统服务,用于还原系统“SSDT HOOK”,从而使部分安全软件的保护功能失效,达到躲避某些安全软件的防御和查杀的目的。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取网络游戏《梦幻西游》玩家的登陆帐号、登陆密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。
病毒名称:Trojan/PSW.OnLineGames.tsh
中 文 名:“网游窃贼”变种tsh
病毒长度:12288字节
病毒类型:木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.OnLineGames.tsh“网游窃贼”变种tsh是“网游窃贼”木马家族的最新成员之一,采用VC++ 6.0编写,并经过加壳保护处理。“网游窃贼”变种tsh运行后,自我插入到被感染计算机的系统“explorer.exe”进程中加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《新破天一剑》玩家的登陆帐号、登陆密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使《新破天一剑》游戏玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来不同程度的损失。
北京网络行业协会、江民科技联合发布6月4日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/PSW.QQPass.tqj“QQ大盗”变种tqj和TrojanSpy.Zbot.s“砸波”变种s值得关注。病毒名称:Trojan/PSW.QQPass.tqj
中 文 名:“QQ大盗”变种tqj
病毒长度:30842字节
病毒类型:木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.tqj“QQ大盗”变种tqj是“QQ大盗”木马家族的最新成员之一,采用Delphi编写,经过添加保护壳处理。“QQ大盗”变种tqj运行后,在被感染计算机系统盘的“Program Files\Internet Explorer\PLUGINS”目录下释放文件“DosSys16.Sys”。修改注册表,将“DosSys16.Sys”注册为浏览器辅助对象(BHO),实现“QQ大盗”变种tqj开机自动运行。将病毒代码注入到所有的用户进程中运行,隐藏自我,躲避安全软件的查杀。在后台秘密监视用户打开的窗口标题,一旦发现用户打开QQ登陆窗口便记录键击,窃取QQ用户名和密码并发送到骇客指定的远程服务器上,给用户带来一定程度的损失。
病毒名称:TrojanSpy.Zbot.s
中 文 名:“砸波”变种s
病毒长度:44032字节
病毒类型:间谍类木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Zbot.s“砸波”变种s是“砸波”木马家族的最新成员之一,采用高级语言编写,并经过加壳处理。“砸波”变种s运行后,在被感染计算机系统“%SystemRoot%\system32\”目录下创建病毒文件“ntos.exe”。修改注册表,实现“砸波”变种s开机自动运行。将病毒代码注入到除CSRSS.EXE外的所有进程中并调用运行,保护磁盘上的病毒文件不被复制、删除。破坏多款防火墙程序,大大降低了被感染计算机上的安全性。窃取被感染计算机上用户的私密信息并发送给骇客,严重威胁用户私密信息安全。另外,“砸波”变种s可能会破坏用户计算机系统内的某些应用程序、数据库、压缩文件、图片、文档等,给用户带来极大的损失。