02月06日病毒播报：“扯淡鬼”变种xe和“苍蝇贼”变种

在今天的病毒中Trojan/CDur.xe“扯淡鬼”变种xe和Trojan/FlyStudio.dfs“苍蝇贼”变种dfs值得关注。

英文名称：Trojan/CDur.xe
中文名称：“扯淡鬼”变种xe
病毒长度：193626字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：9b008ce0d7f8e500cb5c0da3cebb3adb
特征描述：
    Trojan/CDur.xe“扯淡鬼”变种xe是“扯淡鬼”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“扯淡鬼”变种xe运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“7ZIKYf0K.dll”、释放配置文件“GPPOyBZeib.ini”以及恶意文件“GPPOyBZeib.del”。其会将释放的恶意DLL组件“7ZIKYf0K.dll”插入到被感染系统的“explorer.exe”和“svchost.exe”进程中隐秘运行，并在后台执行相应的恶意操作，以此隐藏自我，防止被轻易地查杀。“扯淡鬼”变种xe属于反向连接木马程序，其会在被感染系统的后台连接骇客指定的远程站点“12202.k*g.net”，获取客户端IP地址，侦听骇客指令，从而达到被远程控制的目的。该木马具有远程监视、控制等功能，可以监视用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“扯淡鬼”变种xe的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外，其会通过创建名为“SRAT_Service”的服务的方式实现开机自启。

英文名称：Trojan/FlyStudio.dfs
中文名称：“苍蝇贼”变种dfs
病毒长度：1216069字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：e99afb981f4643d152e8c8711377db1d
特征描述：
    Trojan/FlyStudio.dfs“苍蝇贼”变种dfs是“苍蝇贼”家族中的最新成员之一，采用“易语言”编写。“苍蝇贼”变种dfs运行后，会自我复制到被感染系统的“C:\WINDOWS\system32\4630DE”文件夹下，重新命名为“03EAA0.EXE”。在开始菜单“启动”文件夹下添加名为“D6417C”的快捷方式（指向自身副本），以此实现开机自启。在被感染系统的“C:\WINDOWS\system32\B28F70”和“C:\Documents and Settings\Administrator\Local Settings\TempE_N4”文件夹下分别释放e语言运行库“cnvpe.fne”、“fp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fne”、“RegEx.fne”、“shell.fne”、“spec.fne”。在“C:\WINDOWS\system32”文件夹下创建空目录7DA45E、0C0494，用于记录窃取的数据。其会将窃得的信息发送到骇客指定的远程站点，还可能下载指定的恶意程序并自动调用运行，从而给用户造成了不同程度的威胁。另外，“苍蝇贼”变种dfs可通过U盘进行传播。

 

标签分类：