3月10日病毒播報:“灰鴿子”變種abzh
2019/05/22 所在目錄:公司動(dòng)態(tài) 中國IDC評述網(wǎng)03月10日報道:在今天的病毒里�,需要謹慎防范“灰鴿子”變種abzh和“植木馬器”變種vy�。
英文名稱(chēng):Backdoor/Huigezi.abzh
中文名稱(chēng):“灰鴿子”變種abzh
病毒長(cháng)度:417374字節
病毒類(lèi)型:后門(mén)
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:4d7737010758711e7ff9a37677ef3476
特征描述:
Backdoor/Huigezi.abzh“灰鴿子”變種abzh是“灰鴿子”家族中的最新成員之一�,采用高級語(yǔ)言編寫(xiě)�,經(jīng)過(guò)加殼保護處理�����?����!盎银澴印弊兎Nabzh運行后�����,會(huì )自我復制到被感染系統的“%SystemRoot%”和“%programfiles%”文件夾下���,重新命名為“WindowsUpdate.exe”(文件屬性設置為“系統�、隱藏”)���?����!盎银澴印弊兎Nabzh運行后���,會(huì )檢測被感染系統“%SystemRoot%system32drivers”文件夾下是否存在名為“klif.sys”的驅動(dòng)文件���。運行iexplore.exe進(jìn)程�����,通過(guò)API函數“ZwUnmapViewOfSection”獲取IE進(jìn)程的基址�����,之后申請內存空間���,并將惡意代碼注入到其中隱秘運行�����。秘密連接駭客指定的站點(diǎn)“su*hen.3322.org”���,偵聽(tīng)駭客指令���,然后在被感染的計算機上執行相應的惡意操作�。駭客可通過(guò)“灰鴿子”變種abzh完全遠程控制被感染的計算機系統�����,從而給用戶(hù)的個(gè)人隱私甚至是企業(yè)的商業(yè)機密造成不同程度的侵害�?����!盎银澴印弊兎Nabzh的原病毒程序在運行完成后會(huì )將自我刪除�,以此消除痕跡�。另外�,其會(huì )通過(guò)新建名為“WindowsUpdate”的服務(wù)的方式實(shí)現開(kāi)機自啟�。
英文名稱(chēng):Backdoor/Inject.vy
中文名稱(chēng):“植木馬器”變種vy
病毒長(cháng)度:94131字節
病毒類(lèi)型:后門(mén)
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:a02779da9b884e5879f9122cca57ab3f
特征描述:
Backdoor/Inject.vy“植木馬器”變種vy是“植木馬器”家族中的最新成員之一���,采用高級語(yǔ)言編寫(xiě)�,經(jīng)過(guò)加殼保護處理�����?����!爸材抉R器”變種vy運行后�����,會(huì )自我復制到被感染系統的“%SystemRoot%system32”文件夾下���,重新命名為“ggfps.exe”�。該后門(mén)會(huì )將惡意代碼插入到“explorer.exe”等幾乎所有的進(jìn)程中隱秘運行�����,以此隱藏自我���,防止被輕易地查殺���?����!爸材抉R器”變種vy運行時(shí)�,會(huì )在被感染系統的后臺秘密監視用戶(hù)的鍵盤(pán)輸入���,竊取用戶(hù)輸入的賬號及密碼等機密信息���,并在后臺將竊得的信息發(fā)送到駭客指定的遠程站點(diǎn)或郵箱里(地址加密存放)���,給被感染計算機用戶(hù)造成了不同程度的損失�。后臺連接駭客指定的遠程站點(diǎn)“hxxp://chid*le.com/twchi/”���,下載惡意程序“chidoule.gif”�����、“chidoule.jpg”���、“chidoule.bmp”并自動(dòng)調用運行�����。其所下載的惡意程序可能為網(wǎng)絡(luò )游戲盜號木馬���、遠程控制后門(mén)或惡意廣告程序(流氓軟件)等���,致使用戶(hù)面臨更多的威脅�。另外���,“植木馬器”變種vy會(huì )在被感染系統注冊表啟動(dòng)項中修改登陸初始化內容(userinit)�����,以此實(shí)現開(kāi)機自啟���。
資料來(lái)源:江民科技
粵公網(wǎng)安備44011302004697
