12月10日病毒播报：“克隆先生”变种hba和“绑架犯”变种aks值得

在今天的病毒中Packed.Klone.hba“克隆先生”变种hba和Trojan/PSW.Bjlog.aks“绑架犯”变种aks值得关注。
英文名称：Packed.Klone.hba
中文名称：“克隆先生”变种hba
病毒长度：166912字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：ee58aef8a51695d650d71771eb55b6b3
特征描述：
    Packed.Klone.hba“克隆先生”变种hba是“克隆先生”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“克隆先生”变种hba运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“twking.dll”。自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“twking.exe”（文件属性设置为“系统、隐藏、只读”）。“克隆先生”变种hba运行时，会将恶意代码插入到系统桌面程序“explorer.exe”进程中加载运行，同时在后台执行恶意操作，以此隐藏自我，防止被轻易地查杀。后台连接骇客指定的远程站点，下载恶意程序并自动调用运行。其还会通过模拟点击某安全软件弹出窗口中的“跳过”和“允许”按钮的方式，达到绕过安全软件监控的目的。“克隆先生”变种hba会在被感染系统注册表启动项中添加键值，以此实现开机自启。

英文名称：Trojan/PSW.Bjlog.aks
中文名称：“绑架犯”变种aks
病毒长度：202240字节
病毒类型：盗号木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：5705c045a1373e7da2fa87673564c503
特征描述：
    Trojan/PSW.Bjlog.aks“绑架犯”变种aks是“绑架犯”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“绑架犯”变种aks运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“lfcotjxwwh.dat”，然后将其复制到“%ALLUSERSPROFILE%\application data\Storm\update\%SESSIONNAME%\”文件夹下，重新命名为“eepgv.xm”。后台秘密监视被感染系统用户的键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作等，还会窃取、修改或删除系统中存储的机密信息，从而对用户的信息安全、个人隐私甚至是商业机密构成了严重的威胁。“绑架犯”变种aks会创建密码为空的系统用户“LocalSystem”，以此种方式为系统开启后门，方便骇客进行远程登录控制。另外，“绑架犯”变种aks会通过篡改系统服务“HidServ”的方式实现开机自动运行。

 

标签分类：