01月22日病毒播报:“多面杀手”变种nn和“通犯”变种
时间:2011-01-22 来源:消息
在今天的病毒中TrojanDownloader.AutoIt.nn“多面杀手”变种nn和TrojanDownloader.Generic.cpo“通犯”变种cpo值得关注。
英文名称:TrojanDownloader.AutoIt.nn
中文名称:“多面杀手”变种nn
病毒长度:1376541字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:d88fc807849aec8d424a83b96be4e317
特征描述:
TrojanDownloader.AutoIt.nn“多面杀手”变种nn是“多面杀手”家族中的最新成员之一,经过加壳保护处理。“多面杀手”变种nn运行后,会读取new.9*8.la/53a.txt中存储的代码。访问api.l*wei.com/location/,获取本机的IP地址。在“C:\Documents and Settings\All Users\Application Data\”文件夹下创建“ok.vbs”,在“D:\RECYCLERMD\1\”下创建“CLSID.reg”、“desktop.ini”、“1.inf”,并设置上述文件为“系统、隐藏”属性。“ok.vbs”运行后,会在当前用户桌面上创建假冒的IE快捷方式,然后调用之前释放的其它恶意文件。调用完成后,“ok.vbs”会将这些恶意文件删除。“多面杀手”变种nn运行时,会在“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce”下添加键值“Rundll32 shell32.dll,ShellExec_RunDLLA device:\Windows\system32\debug.exe”,在“HKEY_CLASSES_ROOT\CLSID\{EDF23680-E1E5-41D2-8EF7-206008039E37}\IsShortCut”下创建相关键值,在“HKEY_CLASSES_ROOT\CLSID\{EDF23680-E1E5-41D2-8EF7-206008039E37}\DefaultIcon”下创建键值“C:\Program Files\Internet Explorer\IEXPLORE.EXE”,在“HKEY_CLASSES_ROOT\CLSID\{EDF23680-E1E5-41D2-8EF7-206008039E37}\Shell\Open(&O)”下添加键值“打开(&H)”,在“HKEY_CLASSES_ROOT\CLSID\{EDF23680-E1E5-41D2-8EF7-206008039E37}\Shell\Open(&O)\Command”下添加键值“Rundll32 shell32.dll,ShellExec_RunDLLA C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.6*5.la/?10”,从而实现通过假冒IE快捷方式自动访问指定站点的目的,给骇客带来了非法的经济利益。
英文名称:TrojanDownloader.Generic.cpo
中文名称:“通犯”变种cpo
病毒长度:50706字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:03c4a040137a6d3a6cae79802dfb3d98
特征描述:
TrojanDownloader.Generic.cpo“通犯”变种cpo是“通犯”家族中的最新成员之一,经过加壳保护处理。“通犯”变种cpo运行后,会首先创建注册表键“HKEY_LOCAL_MACHINE\SOFTWARE\WinRAR\am128”,并设置其键值为“s_m_f_am128”。如果发现该键值已经存在便会直接退出运行,同时将自身的文件进行删除。创建名称为“s_m_f_am128”的互斥体,从而防止自身重复运行。在当前用户的桌面上创建假冒IE快捷方式和垃圾Internet快捷方式“Internet Explorer”、“八卦色图”、“美女乐园”、“淘宝购物”、“团购之家”,还会在IE收藏夹中创建垃圾Internet快捷方式“八卦色图”、“百谷电影”、“创业投资好项目”、“看看电影”、“美女乐园”,从而诱导用户对指定站点进行访问,给骇客带来非法的经济利益。下载指定程序“www.xu*i100.com/msn/software/partner/28/DDHYT.exe”、“qk*an.6gg.cn/jm_setup_qvod.exe”、“e*.6gg.cn/setup_p55.exe”并自动调用运行,从而为指定软件恶意提高装机量。在注册表中创建“HKEY_LOCAL_MACHINE\SOFTWARE\WinRAR\hp”,同时设置其键值为“www.dh4*1.com”。在被感染系统中弹出广告网页“tc.9*h.com”,从而为指定站点增加了访问量。另外,“通犯”变种cpo会在被感染系统后台搜集各种用户私密信息,并且将其发送到“jump3.35*38.com:27889/report3.ashx?m=%s&mid=%s&tid=1&d=%s&uid=%s&t=%s”。
标签分类:
相关阅读 更多 +
排行榜 更多 +
