江民10.22病毒播報:網(wǎng)游大盜和代理木馬
江民今日提醒您注意:在今天的病毒中Trojan/PSW.GamePass.aikt“網(wǎng)游大盜”變種aikt和TrojanDownloader.JS.Agent.yuj“代理木馬”變種yuj值得關(guān)注。
英文名稱:Trojan/PSW.GamePass.aikt
中文名稱:“網(wǎng)游大盜”變種aikt
病毒長度:99840字節(jié)
病毒類型:盜號木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:50164e195708e6945f0cdd9322388f03
特征描述:
Trojan/PSW.GamePass.aikt“網(wǎng)游大盜”變種aikt是“網(wǎng)游大盜”盜號木馬家族中的最新成員之一,采用“Visual C++ 2005 Release”編寫。“網(wǎng)游大盜”變種aikt會自我復(fù)制到“%SystemRoot%\system32\”文件夾下,重新命名為“mnmsrvc.exe”。同時會將系統(tǒng)同名文件重新命名為“mnmsrvc.exe.bak”,并刪除“%SystemRoot%\system32\dllcache\”、“dllcache_bk\”和“%SystemRoot%\ServicePackFiles\i386\”目錄下的同名文件,另外會向標(biāo)題為“Windows File Protection”的窗口發(fā)送關(guān)閉窗口的信息,以此防止系統(tǒng)自行恢復(fù)被替換的文件。“網(wǎng)游大盜”變種aikt會啟動“mnmsrvc.exe”對應(yīng)的系統(tǒng)服務(wù)“mnmsrvc”(NetMeeting遠程桌面共享服務(wù)),以此實現(xiàn)開機自動運行。另外,“網(wǎng)游大盜”變種aikt可能會根據(jù)當(dāng)前系統(tǒng)的具體情況,替換其它系統(tǒng)服務(wù),例如“ImapiService”(CD刻錄服務(wù))或“DFSR”(分布式文件系統(tǒng)復(fù)制服務(wù))對應(yīng)的系統(tǒng)文件“imapi.exe”和“DFSR.exe”。“網(wǎng)游大盜”變種aikt會結(jié)束常見的幾個網(wǎng)頁瀏覽器軟件進程,同時連接指定的網(wǎng)址進行下載惡意程序等惡意行為。另外,“網(wǎng)游大盜”變種aikt還會通過訪問指定站點、連接搜索引擎進行特定關(guān)鍵字搜索等操作為駭客帶來非法的經(jīng)濟利益。
英文名稱:TrojanDownloader.JS.Agent.yuj
中文名稱:“代理木馬”變種yuj
病毒長度:1004623字節(jié)
病毒類型:木馬下載器
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:5bd786562543f299eacc37dbde24434e
特征描述:
TrojanDownloader.JS.Agent.yuj“代理木馬”變種yuj是“代理木馬”木馬下載器家族中的最新成員之一,采用易語言編寫。“代理木馬”變種yuj是一個捆綁了正常軟件“CCTV網(wǎng)頁播放器插件安裝程序”的惡意程序,運行后會在被感染系統(tǒng)的“%SystemRoot%\”文件夾下釋放該軟件“ddl1.exe”并執(zhí)行安裝。而“代理木馬”變種yuj則會在后臺篡改注冊表,修改用戶的IE瀏覽器首頁為“http://www.18*hi.com”,從而為不法分子謀取不正當(dāng)?shù)慕?jīng)濟利益。
【編輯推薦】
