01月12日病毒播报：“视频宝宝”变种dzk和“霸族”变种

在今天的病毒中TrojanDropper.VB.dzk“视频宝宝”变种dzk和Trojan/Buzus.njf“霸族”变种njf值得关注。
英文名称：TrojanDropper.VB.dzk
中文名称：“视频宝宝”变种dzk
病毒长度：34787字节
病毒类型：木马释放器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：5841a8886ead74602b4c3d614cc9de99
特征描述：
    TrojanDropper.VB.dzk“视频宝宝”变种dzk是“视频宝宝”家族中的最新成员之一，采用“VB6.0”编写。“视频宝宝”变种dzk运行后，会删除被感染系统“%windir%\system32\”文件夹下的ttjj20.ini、SoundMan.exe、SondMan.exe、SoudMan.exe、SonndMan.exe、xoxx.exe、xoxxo.exe、soss.exe、soliee.exe、inertno.exe、xox.exe、xoxo.exe、sosos.exe、solin.exe、inertne.exe、notepde.exe，删除“%windir%\”文件夹下的SoundMan.exe、SoudMan.exe、SondMan.exe、SonndMan.exe、SonndMan.exe。将“%ProgramFiles%\360safe\safemon\safemon.dll”重新命名为“%ProgramFiles%\360safe\safemon\safemes.dll”，将“%ProgramFiles%\Rising\AntiSpyware\ieprot.dll”重新命名为“%ProgramFiles%\Rising\AntiSpyware\iepret.dll”。在被感染系统的“%windir%\system32”文件夹下释放文件inertno.exe、ttjj21.ini，在“%windir%\”下释放“SonndMan.exe”，还会在“%windir%\system32\”文件夹下释放“inertno.exe”，之后会将上述文件的属性设置为“隐藏、系统”。另外，其会创建系统服务项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\helpsvc”，以此实现“%windir%\system32\inertno.exe”的开机自启。

英文名称：Trojan/Buzus.njf
中文名称：“霸族”变种njf
病毒长度：97792字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：8644788dfd15e24357df76f4be65c6af
特征描述：
    Trojan/Buzus.njf“霸族”变种njf是“霸族”家族中的最新成员之一，经过加壳保护处理。“霸族”变种njf运行后，会在被感染系统的临时文件夹下释放恶意DLL组件“1360281.dll”，在“c:\documents and settings\administrator\”文件夹下释放恶意DLL组件“thjvc.drv”，之后会通过“rundll32.exe”调用运行“thjvc.drv”，之后将其删除。自我复制到被感染系统的“c:\program files\common files”文件夹下，重新命名为“sytvsm.exe”。在系统盘根目录下生成autorun.inf，以此实现“c:\program files\common files\sytvsm.exe”的自动运行。在临时文件夹下释放恶意驱动文件 ~wdotl.tmp，并且创建内核驱动服务wdotl以加载“~wdotl.tmp”，加载成功后便会将其删除。该恶意驱动程序会获取系统内核映像特定指令的位置并返回给特定程序，可用于SSDT恢复等操作。另外，该木马还会将浏览器首页修改为“http://www.xin*ng.net/”。“霸族”变种njf具有进程守护功能，一旦发现其释放或生成的文件被打开便会强行将执行操作的程序关闭。另外，“霸族”变种njf在安装完成后会将自身删除，以此消除痕迹。

 

标签分类：