05月20日病毒播报：“IRC波”变种nba和“奥菲卡”变种

导读：江民今日提醒您注意：在今天的病毒中Backdoor/IRCBot.nba“IRC波”变种nba和Trojan/Oficla.zd“奥菲卡”变种zd值得关注。
英文名称：Backdoor/IRCBot.nba
中文名称：“IRC波”变种nba
病毒长度：97018字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：448f0ada1c684bbe83320d512684c9c6
特征描述：
    Backdoor/IRCBot.nba“IRC波”变种nba是“IRC波”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“IRC波”变种nba运行后，会在“%SystemRoot%\”文件夹下释放恶意文件“ghdrive32.exe”，在系统盘的“\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\”文件夹下释放恶意文件“syitm.exe”。“IRC波”变种nba访问网络时，会将恶意代码注入到“explorer.exe”进程中隐秘运行。如果被感染的计算机已安装并启用了防火墙，则该后门会利用白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。“IRC波”变种nba会利用IRC协议（互联网中继聊天）与服务器“api.w*nia.com”建立连接，并与服务器进行命令交互，以此实现远程控制的目的。其可根据服务器发送的指令，以FTP和HTTP的方式下载网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给被感染系统用户造成了更多的侵害。其还会对指定IP发动DDos攻击、向MSN联系人发送带毒压缩文件，从而造成了更大的破坏与威胁。“IRC波”变种nba在运行完成后会将自身删除，从而达到消除痕迹的目的。另外，“IRC波”变种nba会在被感染系统注册表启动项中添加键值，以此实现自动运行。

英文名称：Trojan/Oficla.zd
中文名称：“奥菲卡”变种zd
病毒长度：20480字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：b741a19579f17bbe03ecad5bbe49cd7f
特征描述：
    Trojan/Oficla.zd“奥菲卡”变种zd是“奥菲卡”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“奥菲卡”变种zd运行后，会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意DLL组件“1.tmp”。然后将其复制到“%SystemRoot%\system32\”下并重新命名为“ckph.ffo”。将释放的恶意DLL组件“1.tmp”插入到系统程序“svchost.exe”等进程中隐秘运行。后台执行相应的恶意操作，以此隐藏自我，防止被轻易地查杀。在被感染系统的后台连接骇客指定的站点“nu*no.us”，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“奥菲卡”变种zd在运行完成后会将自身删除，从而达到消除痕迹的目的。该木马的传播途径一般为网页木马，如果用户的计算机系统存在相应的漏洞，则会增加感染该病毒的风险，甚至是多次重复感染。其会在注册表“ShellExecuteHooks”项下添加键值，以此实现自动运行。

标签分类：