华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。另外在此提醒您,及时更新病毒库和为系统打上最新补丁对于保护电脑安全非常重要,建议定期更新杀软病毒库,关注安全漏洞新闻。
英文名称:Trojan/Inject.myk
中文名称:“植木马器”变种myk
病毒长度:61440字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:1b0a525810e4c4b7d48e744cfbacda55
特征描述:
Trojan/Inject.myk“植木马器”变种myk是“植木马器”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“植木马器”变种myk运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“ggdrive32.exe”,并调用命令隐秘运行。在被感染系统的“%USERPROFILE%\”文件夹下释放恶意文件“bnet.exe”和“serv.exe”,并将“bnet.exe”复制到系统盘的“\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\”文件夹下,重新命名为“syitm.exe”。在系统盘根目录和“\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\”文件夹下分别释放恶意文件“xdx.exe”和“acleaner.exe”。后台秘密窃取当前系统的配置信息,然后从骇客指定的URL“http://www.ni*on.to/cgi-bin/prxjdg.cgi”、“http://two.na*raoi.com/”、“http://xppc*pgirl.com/udv.exe”下载恶意程序并调用运行。其所下载的恶意程序可能为网络游戏*号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。秘密连接骇客指定的IP“60.190.*.125”,侦听骇客指令,在被感染的计算机上执行相应的恶意操作。骇客可通过“植木马器”变种myk完全远程控制被感染的计算机系统,致使被感染系统用户的个人隐私面临着严重的威胁。另外,“植木马器”变种myk会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。
英文名称:Trojan/Scar.gqq
中文名称:“毒疤”变种gqq
病毒长度:86016字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:1966e271fa7aa2393f57e559de9bb85d
特征描述:
Trojan/Scar.gqq“毒疤”变种gqq是“毒疤”家族中的最新成员之一,采用“Microsoft Visual Studio .NET 2005 — 2008”编写。“毒疤”变种gqq运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意程序“piajp.exe”并调用运行。自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“system.exe”。恶意程序“piajp.exe”运行时,会在被感染系统的后台连接骇客指定站点“sc.a*08.com:8080/File/sc.txt”,获取恶意程序下载列表,下载指定的恶意程序“01.exe”、“04.exe”、“05.exe”、“08.exe”、“16.exe”等并自动调用运行。其所下载的恶意程序可能为网络游戏*号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了不同程度的损失。“piajp.exe”运行时还会在当前桌面上新建假冒的IE浏览器快捷方式、图标“免费电影C”、“改变你的一生”、“淘宝购物A”,从而诱导用户访问“http://www.sfc*8.com/taobao.htm”,给骇客增加了非法的经济收入。另外,“毒疤”变种gqq会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。
英文名称:Trojan/Genome.kih
中文名称:“邪恶基因”变种kih
病毒长度:204288字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:b1f24670b47896cccbc53a9d2fa9b8fa
特征描述:
Trojan/Genome.kih“邪恶基因”变种kih是“邪恶基因”家族中的最新成员之一,采用“Borland Delphi 6.0 – 7.0”编写,经过加壳保护处理。“邪恶基因”变种kih运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“VMwarp.exe”。在“%SystemRoot%\system32\”文件夹下释放恶意程序“tmsm.exe”,在被感染计算机系统的“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下释放恶意程序“url.exe”、“bj.exe”、“Kill.exe”,之后调用运行。“url.exe”运行后,会在“%SystemRoot%\system32\”文件夹下释放恶意程序“clientex.exe”,“clientex.exe”。“bj.exe”运行后,会尝试连接指定的安全站点(conf.f.360.cn、antispy.db.kingsoft.com 、bo.duba.net、 vc01.beike.cn、 vi.pc120.com等 ),还会和骇客指定的站点“gts*lcd.gicp.net”进行通讯。“Kill.exe”是一个木马下载工具,其会在“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“lqcyc52.cyc”然后重命名为“usp10.dll”(属性设置为“系统、隐藏”),从而达到替换系统DLL的目的。其会在被感染系统的后台连接骇客指定的远程站点,读取加密的配置文件,之后进行自升级和下载其它恶意程序等操作。其所下载的恶意程序可能为网络游戏*号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了更多的威胁。
英文名称:Packed.Klone.hcu
中文名称:“克隆先生”变种hcu
病毒长度:167936字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:d871139fc406db8e3f54bf57033597b0
特征描述:
Packed.Klone.hcu“克隆先生”变种hcu是“克隆先生”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“克隆先生”变种hcu运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“twking0.dll”,之后自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“twking.exe”。以上文件的属性会被设置为“系统、隐藏、只读”。“克隆先生”变种hcu运行时,会将恶意代码插入到系统桌面程序“explorer.exe”等几乎所有的进程中隐秘运行,并在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。“克隆先生”变种hcu是一个专门盗取指定网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“克隆先生”变种hcu会在被感染系统注册表启动项中添加键值的方式实现开机自启。“克隆先生”变种hcu采用了反调试技术,这会给病毒的分析造成不便,从而增强了自身的生存几率。
英文名称:TrojanDownloader.VB.ewh
中文名称:“视频宝宝”变种ewh
病毒长度:57344字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:89a5c96554ad724381bbbb7de9a9918a
特征描述:
TrojanDownloader.VB.ewh“视频宝宝”变种ewh是“视频宝宝”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写。“视频宝宝”变种ewh运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”和“%USERPROFILE%\Local Settings\Temp\”文件夹下,分别重新命名为“g8iquw.exe”和“wmontmp.exe”。“视频宝宝”变种ewh属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的远程站点“222.122.*.19/log/cver8.asp”,获取客户端IP地址,侦听骇客指令,从而达到被远程控制的目的。该木马具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除用户计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“视频宝宝”变种ewh的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。其还会在被感染系统后台连接骇客指定的远程站点,下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏*号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。另外,“视频宝宝”变种ewh会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。
英文名称:TrojanDownloader.Icehart.w
中文名称:“冰之心”变种w
病毒长度:128000字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:10c2be82db5202a3afa4f3a52f8011d7
特征描述:
TrojanDownloader.Icehart.w“冰之心”变种w是“冰之心”家族中的最新成员之一,采用“Microsoft Visual Studio .NET 2005 — 2008”编写。“冰之心”变种w运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意程序“ifcaqu.exe”并调用运行。该恶意程序运行后会通过命令将自身删除,以此达到消除痕迹的目的。其会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“system.exe”。将“%SystemRoot%\system32\”文件夹下的系统DLL组件“wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“1.tmp”,然后通过其访问网络。后台连接骇客指定的远程站点“exe.a*8.com:8080/”,获取恶意程序下载列表,下载指定的恶意程序sc.png、ok.jpg、01.jpg、02.jpg等并自动调用运行。其所下载的恶意程序可能为网络游戏*号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,其会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。
英文名称:TrojanSpy.SpyEyes.bcc
中文名称:“谍之眼”变种bcc
病毒长度:896512字节
病毒类型:间谍木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:03f166543ffe1af905bb8d3678ac18e9
特征描述:
TrojanSpy.SpyEyes.bcc“谍之眼”变种bcc是“谍之眼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“谍之眼”变种bcc运行后,会自我复制到被感染计算机系统盘根目录的“asdfjnkads.exe\”文件夹下,重新命名为“asdfjnkads.exe”,还会在该文件夹下创建配置文件“config.bin”。其访问网络时会将恶意代码插入到“explorer.exe”等几乎所有的进程中隐秘运行,以此隐藏自我,防止被轻易地查杀。“谍之眼”变种bcc运行时,会在被感染系统的后台秘密监视用户的键盘输入,伺机窃取账号及密码等机密信息,并在后台将窃得的信息发送到骇客指定的远程站点“http://pof*itit.co.cc/tikuta/jaz2/muwy.php?guid=UserName!COMPUTERNAME!00CD1A40&ver=10299&stat=ONLINE&ie=6.0.2900.2180&os=5.1.2600&ut=Admin&plg=billinghammer;bugreport;creditgrab;ffcertgrabber;ftpbc;socks5&cpu=100&ccrc=1949FA0C&md5=03f166543ffe1af905bb8d3678ac18e9”,从而对被感染系统用户的个人隐私等造成了不同程度的侵害。另外,“谍之眼”变种bcc还会隐藏系统盘的所有文件及文件夹,从而增强自身的隐蔽性。
英文名称:TrojanDownloader.FlyStudio.bqc
中文名称:“苍蝇贼”变种bqc
病毒长度:1448497字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:f7dd81fb0da9ce7d05a48668984840e4
特征描述:
TrojanDownloader.FlyStudio.bqc“苍蝇贼”变种bqc是“苍蝇贼”家族中的最新成员之一,采用“易语言”编写。“苍蝇贼”变种bqc运行后,会自我复制到被感染系统的“C:\WINDOWS\system32\B08BD5”文件夹下,重新命名为“1936A4.EXE”。在开始菜单”启动“文件夹中添加名为“9287CE”的快捷方式(指向自身副本),以此实现开机自启。“苍蝇贼”变种bqc运行后,会在被感染系统的“C:\WINDOWS\system32\38F41C”和“C:\Documents and Settings\Administrator\Local Settings\TempE_N4”文件夹下分别释放e语言运行库“cnvpe.fne”、“fp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fne”、“RegEx.fne”、“shell.fne”、“spec.fne”。在“C:\WINDOWS\system32”文件夹下创建空目录4F3C8E、A5E1F6,用于记录指定的数据。其会秘密搜集被感染系统中指定的数据,然后将秘密窃得的信息发送到骇客指定的远程站点,从而对用户的个人隐私造成了不同程度的侵害。其还会从骇客指定的远程站点下载恶意程序并调用运行。其所下载的恶意程序可能为网络游戏*号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁