02月01日病毒播报：“伪颗粒”变种cuk和“苍蝇贼”变种

在今天的病毒中Trojan/Vaklik.cuk“伪颗粒”变种cuk和TrojanDownloader.FlyStudio.ame“苍蝇贼”变种ame值得关注。 英文名称：Trojan/Vaklik.cuk
中文名称：“伪颗粒”变种cuk
病毒长度：175616字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：c5cda622d16d05b3b7ae69e315e7a2a9
特征描述：
    Trojan/Vaklik.cuk“伪颗粒”变种cuk是“伪颗粒”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“伪颗粒”变种cuk运行后，会自我复制被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下，重新命名为“mgking.exe”。在该文件夹下释放恶意DLL组件“mgking0.dll”，在“%SystemRoot%\system32\”文件夹下释放恶意文件“arking.exe”和恶意DLL组件“arking0.dll”，之后会将以上文件的属性均设置为“系统、隐藏、只读”。“伪颗粒”变种cuk运行时，会将恶意代码插入到系统桌面程序“explorer.exe”进程中隐秘运行，从而防止被轻易地查杀。尝试恢复系统服务描述表（SSDT），以此试图破坏被感染系统中安全软件的自我保护、主动防御等功能，给用户的信息安全造成了严重的威胁。其还会自动模拟点击某安全软件拦截提示窗口中的“跳过”和“允许”按钮，从而绕过该软件的监视。后台连接骇客指定的远程站点“www.16*dji.com”和“www.soh*jui.com”，以此为其增加了访问量。下载指定的恶意程序并自动调用运行。这些恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会给用户造成不同程度的损失。原病毒程序在安装完成后会将自身删除，以此消除痕迹。另外，“伪颗粒”变种cuk会在被感染系统注册表启动项中添加键值，以此实现开机自启。

英文名称：TrojanDownloader.FlyStudio.ame
中文名称：“苍蝇贼”变种ame
病毒长度：1270310字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6c8f75f6e6d42456dcd301940a6e8640
特征描述：
    TrojanDownloader.FlyStudio.ame“苍蝇贼”变种ame是“苍蝇贼”家族中的最新成员之一，采用“易语言”编写。“苍蝇贼”变种ame运行后，会自我复制到被感染系统的“C:\WINDOWS\system32\05DA2B”文件夹下，重新命名为“26ABAE.EXE”。其会在开始菜单“启动”文件夹下添加名为“CDC1CE”的快捷方式（指向自身副本），以此实现开机自动运行。“苍蝇贼”变种ame运行后，会在被感染系统的“c:\WINDOWS\system32\87CC3B”和“C:\Documents and Settings\Administrator\Local Settings\TempE_N4”文件夹下分别释放e语言运行库“cnvpe.fne”、“fp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fne”、“RegEx.fne”、“shell.fne”、“spec.fne”。在“c:\WINDOWS\system32”文件夹下创建空目录5AE24B、211A25，用于记录指定的信息。秘密搜集用户信息，并且会将窃得的信息发送到骇客指定的远程站点中，从而给用户造成了不同程度的损失。其还可能从骇客指定的远程站点下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。另外，“苍蝇贼”变种ame还具备通过U盘等移动存储设备进行传播的能力。

 

标签分类：