12月16日病毒播报：“VBS傀儡”变种yh和“入侵者”变种

在今天的病毒中Trojan/VBS.yh“VBS傀儡”变种yh和Trojan/Invader.bey“入侵者”变种bey值得关注。
英文名称：Trojan/VBS.yh
中文名称：“VBS傀儡”变种yh
病毒长度：4144字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：662f6f4396247e15022e2a1d549420b4
特征描述：
    Trojan/VBS.yh“VBS傀儡”变种yh是“VBS傀儡”家族中的最新成员之一，采用“VBS”脚本语言编写，经过加密保护处理。“VBS傀儡”变种yh运行后，会在被感染系统的后台连接骇客指定的远程站点“www.wi*sd.cn/img/index_bn/”、“www.wi*sd.cn/img/index_bn/”、“www.wi*sd.cn/img/index_bn/”、“www.wi*sd.cn/img/index_bn/”，下载恶意程序“1.vbs”、“chajian1.exe”、“chajian2.exe”、“chajian3.exe”并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。在被感染系统的“%programfiles%\”文件夹下释放恶意程序“cj2.exe”，还会在系统盘根目录下创建名为“sn”的文件夹并在其中释放恶意程序“smss.exe”。删除桌面上的IE浏览器图标，然后创建假冒的IE浏览器快捷方式。通过这个快捷方式启动的IE浏览器会自动访问骇客指定的站点“http://d*o.online.cq.cn/?my=632”，从而为其增加了访问量，给骇客带来了非法的经济利益。其还会在桌面上创建恶意脚本文件“Internet Explorer.css”、“导航网址.shb”、“购物导航.bt”，从而对指定站点进行推广。“VBS傀儡”变种yh运行时，会在被感染系统中定时弹出恶意广告网页或恶意广告条窗口，从而对被感染系统用户造成不同程度的干扰。另外，其还会通过在被感染系统注册表启动项中添加键值，或者在启动文件夹中创建主程序等方式实现开机自动运行。

英文名称：Trojan/Invader.bey
中文名称：“入侵者”变种bey
病毒长度：116224字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：0bcbf0cad028c8637075ce325fc3e4be
特征描述：
    Trojan/Invader.bey“入侵者”变种bey是“入侵者”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“入侵者”变种bey运行后，会自我复制到被感染系统的“%USERPROFILE%\”文件夹下，重新命名为“yeawl.exe”。将恶意代码插入到系统桌面程序“explorer.exe”进程中隐秘运行，同时在后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。修改注册表相关键值，取消系统托盘中网络连接图标的显示。“入侵者”变种bey属于反向连接木马程序，其会在被感染系统的后台连接骇客指定的远程站点“jebena.ana*kolic.su”，获取客户端真实的IP地址，然后侦听骇客指令，从而达到被远程控制的目的。该后门具有远程监视、控制等功能，可以监视用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“入侵者”变种bey的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外，“入侵者”变种bey还会向“g.nba1*1.com:6969”反馈被感染系统的TCP端口信息。

 

标签分类：