05月14日病毒播报：“视频宝宝”变种abit和“垮屋”变种

在今天的病毒中TrojanDownloader.VB.abit“视频宝宝”变种abit和Backdoor/Krafcot.hm“垮屋”变种hm值得关注。
英文名称：TrojanDownloader.VB.abit
中文名称：“视频宝宝”变种abit
病毒长度：212992字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：13cad48746a05c12b35256f89799b041
特征描述：
    TrojanDownloader.VB.abit“视频宝宝”变种abit是“视频宝宝”家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写。“视频宝宝”变种abit运行后，会在被感染系统的“%programfiles%\common files\”文件夹下释放恶意图标文件“t.ico”、“d.ico”，文件属性设置为“系统、隐藏”。在被感染系统用户的桌面上释放恶意快捷方式“internet explorer.hdh”、“在线小游戏.hyx”、“看电影.hpf”、“网上购物.htb”、“上网导航.h35”、“图片新闻.hli”，同时将这些文件对应复制到“\Documents and Settings\All Users\「开始」菜单\”文件夹下。设置上述文件的权限，致使用户不能轻易地删除。在注册表中创建“*.hdh”、“*.hyx”、“*.hpf”、“*.htb”、“*.h35”、“*.hli”等类型文件的关联信息，修改默认图标为IEXPLORE.EXE、SHELL32.dll、t.ico、d.ico的样式，从而实现用户双击运行后会自动调用IE访问“http://www.hen*uo.com/?1121 ”、“http://www.d*d.com/?1121”、“http://www.pi*ng.net/?1121”、“http://taobao.lo*so.com/?1121”、“http://www.3*s.com/?1121”、“http://www.lo*so.com/?1121”的目的。其还会在当前目录下释放恶意程序“网聚.exe”和“jies.bak.vbs”，在系统盘根目录下释放恶意程序“Program Files936XAD.exe”。“视频宝宝”变种abit会在用户的计算机系统中安装名为“风影影视”的软件，从而为其增加装机量。“视频宝宝”变种abit在运行完成后会创建批处理文件并在后台调用执行，以此将自身删除，从而消除痕迹。

英文名称：Backdoor/Krafcot.hm
中文名称：“垮屋”变种hm
病毒长度：135470字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：d1f2edadbfc09c94047cf9039977a143
特征描述：
    Backdoor/Krafcot.hm“垮屋”变种hm是“垮屋”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“垮屋”变种hm运行后，会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下，重新命名为“fzuk.exe”。“垮屋”变种hm属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的站点“mat777.3*2.org”，获取客户端IP地址，侦听骇客指令，从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能，可以监视用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等）。还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“垮屋”变种hm的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。“垮屋”变种hm在运行完成后会将自身删除，从而达到消除痕迹的目的。“垮屋”变种hm的传播途径一般为网页木马，如果用户的计算机系统存在相应的漏洞，则会增加感染该病毒的风险，甚至是多次重复感染。另外，“垮屋”变种hm会在被感染系统中注册名为“oNvJYDhK”的系统服务，以此实现自动运行。

标签分类：