03月14日病毒播报：“释马器”变种nm和“反调者”变种

在今天的病毒中TrojanDropper.FrauDrop.nm.nm“释马器”变种nm和Backdoor/Cetorp.lv“反调者”变种lv值得关注。
英文名称：TrojanDropper.FrauDrop.nm.nm
中文名称：“释马器”变种nm
病毒长度：1042944字节
病毒类型：木马释放器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：110e1d981417ea0a4449ae389d052eab
特征描述：
    TrojanDropper.FrauDrop.nm.nm“释马器”变种nm是“释马器”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“释马器”变种nm运行后，会在当前文件夹下释放恶意文件“enemies-names.txt”和配置文件。在被感染系统的后台连接骇客指定的远程站点“ld*n.in”和“vis*e.in”，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“释马器”变种nm会释放一个名为“Antimalware Doctor”的恶意软件，“Antimalware Doctor”运行后会自动对系统进行扫描，把正常的系统文件误报为病毒，然后强迫用户注册该恶意软件。用户无法通过任务管理器来结束该软件，其还会屏蔽大多数的安全软件，从而更好的实现自我保护。另外，“释马器”变种nm会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。

英文名称：Backdoor/Cetorp.lv
中文名称：“反调者”变种lv
病毒长度：252928字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：dd864e6a3d29fc11d3912c6b9f7c67d0
特征描述：
    Backdoor/Cetorp.lv“反调者”变种lv是“反调者”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“反调者”变种lv运行后，会首先打开文件“\\.\OLLYBONE”、“\\.\FRDTSC”、“\\.\FRDTSCO”、“\\.\EXTREMEHIDE”，查找是否存在名称为“OLLYDBG”或“WispWindowClass”的窗口。遍历所有正在运行的进程，判断当前系统中是否存在“ollydbg”的进程，如果发现指定的窗口或进程便会尝试将其关闭，同时结束自身的运行。删除当前文件夹下的netsf.inf和netsf_m.inf文件，然后创建文件“\\.\rotcetorp”。在“c:\documents and settings \administrator\”文件夹下释放文件“secupdat.dat”、“cxjwu.exe”，在“c:\windows\system32\”文件夹下释放文件“secupdat.dat”，同时将这些文件的属性设置为隐藏。还会和地址“216.246.*.230”进行通讯，接受骇客指令，以便执行更多的恶意操作。创建注册表启动项“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSConfig”，并设置其键值为“c:\documents and settings\adminstrator\cxjwu.exe \u”，以此实现相关恶意程序的自启动。执行完上述恶意操作后，“反调者”变种lv会创建批处理文件并在后台调用运行，以此消除痕迹。

 

标签分类：