5月4日病毒播報:需謹(jǐn)慎防范偽程序”變種chm和“系統(tǒng)殺手”變種bmh
2019/05/22 所在目錄:公司動態(tài) 中國IDC評述網(wǎng)05月04日報道:在今天的病毒里����,需要謹(jǐn)慎防范“偽程序”變種chm和“系統(tǒng)殺手”變種bmh。
英文名稱:Trojan/Antavmu.chm
中文名稱:“偽程序”變種chm
病毒長度:58028字節(jié)
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:9d679c4f833462dc355d471cf918f7a6
特征描述:
Trojan/Antavmu.chm“偽程序”變種chm是“偽程序”家族中的最新成員之一����,采用高級語言編寫,經(jīng)過加殼保護(hù)處理���?��!皞纬绦颉弊兎Nchm運(yùn)行后,會讀取指定文件“CONIN$”和“CONOUT$”���。自我復(fù)制到被感染系統(tǒng)的“%SystemRoot%system32Setup”文件夾下�����,重新命名為“svchost.exe”��。然后打開服務(wù):“ FSMA”��、“FSFW”�����、“ZoneAlarm”�����、“kmxbig”�����、“sfilter”�、“MpsSvc”、“fsbts”����、“kmxfile”、“klpid”�、“OutpostFirewall”�����、“WinDefend”����、“kmxagent”、“kmxcfg”����、“kmxfw”����、“SmcService”����、“F-Secure Gatekeeper”、“kmxndis”����、“F-Secure Recognizer”、“Norton Antivirus Service”���、“ FSDFWD”�����、“l(fā)nsfw1”�、“F-Secure Gatekeeper Handler Starter”�����、“sharedaccess”�����、“klif”、“vsmon”��、“F-Secure HIPS”��、“Panda Antivirus”��、“vsdatant”��、“McAfee Framework Service”�����、“UmxPol”等���。搜索注冊表����,刪除大多數(shù)安全軟件的啟動項鍵值�����,從而達(dá)到自我保護(hù)的目的��?���!皞纬绦颉弊兎Nchm運(yùn)行時,會在被感染系統(tǒng)的后臺連接駭客指定的URL“ntci*ndation.ca/aff/script.php?magic=437153110006&ox=2-5-1-2600&tm=60&id=-1&cache=0826356259”�����,秘密下載惡意程序到被感染系統(tǒng)中并自動調(diào)用運(yùn)行��。這些惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬����、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等,會給用戶造成不同程度的損失���。另外����,“偽程序”變種chm會在被感染系統(tǒng)中注冊名為“svchost32”的系統(tǒng)服務(wù)�,以此實(shí)現(xiàn)自動運(yùn)行。
英文名稱:Trojan/AntiAV.bmh
中文名稱:“系統(tǒng)殺手”變種bmh
病毒長度:277504字節(jié)
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:b51fb02b7bf8e7c43fed59b574e4f6e2
特征描述:
Trojan/AntiAV.bmh“系統(tǒng)殺手”變種bmh是“系統(tǒng)殺手”家族中的最新成員之一�����,采用“Borland Delphi 6.0 - 7.0”編寫,經(jīng)過加殼保護(hù)處理���?!跋到y(tǒng)殺手”變種bmh運(yùn)行后�����,會自我復(fù)制到被感染系統(tǒng)的“%programfiles%Windows NT”文件夾下�,重新命名為“SERVICES.EXE”。其會在被感染系統(tǒng)的“%SystemRoot%system32”文件夾下釋放經(jīng)過加殼保護(hù)的惡意DLL組件“ACE.dll”����。遍歷當(dāng)前系統(tǒng)運(yùn)行的所有進(jìn)程,一旦發(fā)現(xiàn)某些安全軟件的進(jìn)程存在�,便會嘗試將其結(jié)束,致使被感染系統(tǒng)失去安全軟件的防護(hù)���?����!跋到y(tǒng)殺手”變種bmh運(yùn)行時��,會將釋放的惡意DLL組件“ACE.dll”插入到系統(tǒng)桌面程序“explorer.exe”等進(jìn)程中隱秘運(yùn)行�。后臺執(zhí)行相應(yīng)的惡意操作���,以此隱藏自我�����,防止被輕易地查殺�。在被感染系統(tǒng)的后臺秘密監(jiān)視用戶的鍵盤和鼠標(biāo)操作���,伺機(jī)竊取用戶輸入的機(jī)密信息�,并在后臺將竊得的信息發(fā)送到駭客指定的站點(diǎn)或郵箱中(地址加密存放)���,給被感染系統(tǒng)用戶造成了不同程度的損失����?��!跋到y(tǒng)殺手”變種bmh在運(yùn)行完成后會創(chuàng)建批處理文件“$$cD.tmp.bat”并在后臺調(diào)用執(zhí)行���,以此將自身刪除。另外����,“系統(tǒng)殺手”變種bmh會通過在被感染系統(tǒng)注冊表啟動項中修改登陸初始化內(nèi)容實(shí)現(xiàn)自動運(yùn)行��。
資料來源:江民科技
粵公網(wǎng)安備44011302004697
