02月10日病毒播报：“小广告”变种fwk和“植木马器”变种

在今天的病毒中Trojan/Pasta.fwk“小广告”变种fwk和Backdoor/Inject.nn“植木马器”变种nn值得关注。

英文名称：Trojan/Pasta.fwk
中文名称：“小广告”变种fwk
病毒长度：188447字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：62c3fcda4f519886209e1fc3c49a4a82
特征描述：
    Trojan/Pasta.fwk“小广告”变种fwk是“小广告”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“小广告”变种fwk运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意注册表项“msscp.reg”。删除“%USERPROFILE%\桌面\”文件夹下可能存在的Internet Explorer.url”、“Internet Explorer.lnk”、“Mozilla Firefox.lnk”、“360安全卫士.lnk”、“360软件管家.lnk”，删除“%ALLUSERPROFILES%\桌面\”文件夹下可能存在的“Internet Explorer.url”、“Internet Explorer.lnk”、“Mozilla Firefox.lnk”、“%360杀毒.lnk”、“瑞星杀毒软件.lnk”、“修复瑞星软件.lnk”、“账号保险柜.lnk”、“淘宝商城.lnk”，删除“%USERPROFILE%\[开始]菜单\”文件夹下可能存在的“Internet Explorer.url”、“Internet Explorer.lnk”、“Mozilla Firefox.lnk”，删除“%ALLUSERPROFILES%\[开始]菜单\”文件夹下可能存在的“Internet Explorer.url”、“Internet Explorer.lnk”、“Mozilla Firefox.lnk”，删除“%USERPROFILE%\[开始]菜单\程序\”文件夹下可能存在的“Internet Explorer.url”、“Internet Explorer.lnk”、“Mozilla Firefox.lnk”，删除“%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”文件夹下可能存在的“Internet Explorer.url”、“Internet Explorer.lnk”、“Mozilla Firefox.lnk”、“启动Internet Explorer浏览器.lnk”、“瑞星杀毒软件.lnk”，然后在上述文件夹中释放“Internet Explorer.html”。通过其启动的IE浏览器会自动访问骇客指定的站点“http://www.4*2lo.com/?qvod1”，从而为指定站点提高了访问量，给骇客带来了非法的经济利益。另外，其还会在IE收藏夹中创建Internet快捷方式“免费看电影.url”，以此诱导用户对其进行访问。

英文名称：Backdoor/Inject.nn
中文名称：“植木马器”变种nn
病毒长度：379451字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6f0ba5bd78c86a8737bf1567f7d3861f
特征描述：
    Backdoor/Inject.nn“植木马器”变种nn是“植木马器”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“植木马器”变种nn运行后，会创建新的“svchost.exe”进程并将自身代码注入其中隐秘运行。在被感染系统的“%programfiles%\Microsoft SQL Server\90\Shared\”文件夹下释放恶意文件“sqlks.exe”。“植木马器”变种nn属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的远程站点“32127.rh*per.com”，获取客户端IP地址，然后侦听骇客指令，从而达到被远程控制的目的。该后门具有远程监视、控制等功能，可以监视用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“植木马器”变种nn的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外，其会创建名为“SQLconnedction”的服务，以此实现开机自动运行。

 

标签分类：