首页>信息安全>

阅读新闻

4月7日病毒播报:木马监视程序窗口标题

来源:说IT资讯网 作者:秩名 日期:2011-04-07 08:46

  在今天的病毒里,需要谨慎防范“克隆先生”变种igk和“友好客户”变种ajlf。

  英文名称:Packed.Klone.igk

  中文名称:“克隆先生”变种igk

  病毒长度:205824字节

  病毒类型:木马

  危险级别:★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:77de91574546bf1382bf86bb2035197e

  特征描述:

  Packed.Klone.igk“克隆先生”变种igk是“克隆先生”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“克隆先生”变种igk运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“EO0CvKl.exe”。释放恶意DLL组件“EO0CvKl20.dll”和“EO0CvKl10.dll”,将文件“uioAWERAKFFLAAAA#(#!@(aereera#EkEweqhyHDIqdasAOetSLAfxCd*EVghghnghnghngeafhnfsjhkfjhksdfjhksdfjhk”复制为“FDdasdas#@!e65767687687”,还会将以上文件的属性设置为“系统、隐藏、只读”。“克隆先生”变种igk会注册“EO0CvKl20.dll”,并将其插入到系统桌面程序“explorer.exe”等几乎所有的进程中隐秘运行。后台执行相应的恶意操作,以此隐藏自我,防止被轻易地查杀。“克隆先生”变种igk运行时,会在被感染系统的后台秘密窃取系统中的机密信息,并在后台将窃得的信息发送到骇客指定的站点或邮箱中(地址加密存放),给被感染系统用户造成了不同程度的损失。在被感染计算机的后台秘密监视所有正在运行程序的窗口标题,一旦发现标题中存在与安全相关的字符串(如“AVP.AlertDialog”、“AVP.Product_Notification”)便会尝试结束其进程,从而达到自我保护的目的。另外,“克隆先生”变种igk会在被感染系统注册表启动项中添加键值,以此实现自动运行。

  英文名称:Backdoor/PcClient.ajlf

  中文名称:“友好客户”变种ajlf

  病毒长度:37632字节

  病毒类型:后门

  危险级别:★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:3f524d342454a4c3896ca460c93fa58c

  特征描述:

  Backdoor/PcClient.ajlf“友好客户”变种ajlf是“友好客户”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“友好客户”变种ajlf运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“WinHelp32.exe”。文件属性设置为“系统、隐藏”。“友好客户”变种ajlf属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的站点“www.9*k.com”,获取客户端IP地址,侦听骇客指令,从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“友好客户”变种ajlf的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。该后门还会访问指定页面“www.qq*o123.com:80/plus/search.php”,从而为这些站点增加了访问量。“友好客户”变种ajlf在运行完成后会将自我删除,从而达到消除痕迹的目的。另外,“友好客户”变种ajlf会在被感染计算机中注册名为“WinHelp32”的系统服务,以此实现自动运行。

数据统计中!!
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
验证码:点击我更换图片

推荐内容

热点内容