江民今日提醒您注意：在今天的病毒中Worm/AutoRun.lrl“U盤寄生蟲”變種lrl和Backdoor/Emogen.ew“惡魔棍”變種ew值得關注。

英文名稱：Worm/AutoRun.lrl

中文名稱：“U盤寄生蟲”變種lrl

病毒長度：24064字節

病毒類型：蠕蟲

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：901a96bdda1a858ac92e0a04e46ea197

特征描述：

Worm/AutoRun.lrl“U盤寄生蟲”變種lrl是“U盤寄生蟲”家族中的***成員之一，采用“Microsoft Visual C++ 6.0”寫，并且經過加殼保護處理?！癠盤寄生蟲”變種lrl運行后，會在“%SystemRoot%\system32\”文件夾下釋放經過殼保護的惡意DLL組件“*.dll”（文件名從netsvcs服務組中依次獲取，一般從“6to4”開始），另外還會在臨時文件下釋放惡意驅動程序“SvcMain.sys”，用以結束各類安全軟件的自我保護。利用注冊表映像文件劫持，干擾各類安全軟件的正常啟動運行，從而降低了被感染系統的安全性。

“U盤寄生蟲”變種lrl釋放的DLL文件在運行后，會連接駭客指定的URL“http://www.dy20*4.com/msn/mm.txt”，從而進行下載其它惡意程序以及在被感染計算機上訪問指定掛馬頁面的行為，給用戶造成了更大的損失。“U盤寄生蟲”變種lrl可通過移動存儲設備及網上鄰居進行傳播。其會自我復制為“[盤符];\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe”，并生成“autorun.inf”文件，從而利用系統的自動播放功能激活自我。

嘗試連接存在弱口令的局域網內電腦，一旦連接成功，便會將自身復制到其“C:\”根目錄下，重新命名為“bootfont.exe”，并利用計劃任務功能將其激活。“U盤寄生蟲”變種lrl還會對部分擴展名為“.exe”、“.asp”、“.htm”、“.html”、“.aspx”及“.RAR”的文件進行感染，從而給用戶造成更多的隱患。另外，“U盤寄生蟲”變種lrl會在被感染計算機中注冊系統服務，以此實現其開機自動運行。

英文名稱：Backdoor/Emogen.ew

中文名稱：“惡魔棍”變種ew

病毒長度：369899字節

病毒類型：后門

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：35a156f5f6265ef112f6ca28e6c923af

特征描述：

Backdoor/Emogen.ew“惡魔棍”變種ew是“惡魔棍”后門家族中的***成員之一，采用高級語言編寫，并且經過加殼保護處理?！皭耗Ч鳌弊兎New運行后，會在被感染系統的“%SystemRoot%\system32\”文件夾下釋放經過加殼保護的惡意DLL組件“user2.dll”，同時修改文件的時間屬性，以此迷惑用戶。同時會將原病毒文件刪除，以此消除痕跡。“惡魔棍”變種ew釋放的DLL文件在運行后，會不斷嘗試與控制端（地址為：niaoniaokk.33*.org:1987）進行連接。一旦連接成功，則被感染的計算機便會淪為傀儡主機，從而接受駭客的任何控制、操作，嚴重地侵害了用戶的個人隱私。同時，駭客還可以向傀儡主機上傳大量的惡意程序，從而構成更加嚴重的威脅。另外，“惡魔棍”變種ew會修改系統服務“BITS”（后臺智能傳輸服務）所調用的文件指向，從而實現了開機自啟。

【編輯推薦】

1. 病毒日報- 51CTO.COM
2. 病毒周報- 51CTO.COM