江民今日提醒您注意:在今天的病毒中Worm/Palevo.byp“帕勒虫”变种byp和Worm/Koobface.hs“酷脸”变种hs值得关注。
英文名称:Worm/Palevo.byp
中文名称:“帕勒虫”变种byp
病毒长度:104960字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:6b3cce4110b117a5d15385d34f323a5b
特征描述:
Worm/Palevo.byp“帕勒虫”变种byp是“帕勒虫”蠕虫家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“帕勒虫”变种byp运行后,会创建文件夹“C:\RECYCLER\S-1-5-21-*-*-*-*\”(设置文件夹图标为“Windows回收站”样式,属性为“系统、只读、隐藏”),并自我复制到该目录下,重新命名为“wmiprvse.exe”(文件属性设置为“系统、只读、隐藏”)。将恶意代码写入到“explorer.exe”等进程的内存空间中隐秘运行,以此隐藏自我,防止被轻易地查杀。在被感染系统的后台连接骇客指定的站点,根据骇客指令,对指定IP地址及端口实施多种类型的DDos攻击,从而严重地消耗了用户计算机的网络带宽和系统资源,给被攻击者造成了严重的侵害。同时,还会下载其它恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“帕勒虫”变种byp可通过移动存储设备进行自我传播,其会监视被感染系统中新接入的移动存储设备。如果发现有新的移动存储设备接入时,便会在其根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫主程序文件“\rECyCLEr\drIVer.eXE”,以此实现双击盘符后激活蠕虫的目的。“帕勒虫”变种byp还会通过下载骇客指定恶意文件“http://www.hotli*kfiles/files/2605189_nahtp/fixed.exe”的方式实现自我更新。另外,“帕勒虫”变种byp会修改注册表的相关键值,以此实现蠕虫的开机自动运行。
英文名称:Worm/Koobface.hs
中文名称:“酷脸”变种hs
病毒长度:13824字节
病毒类型:蠕虫
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:33c159fa01ff622fc14af1399d8cce86
特征描述:
Worm/Koobface.hs“酷脸”变种hs是“酷脸”蠕虫家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“酷脸”变种hs运行后,会自我复制到被感染系统的“%SystemRoot%\”目录下,重新命名为“pp10.exe”(文件属性设置为“隐藏”),之后会将原文件删除,以此消除痕迹。“酷脸”变种hs运行时,会连接骇客指定的站点“main15052009.com”、“er20090515.com”、“wmain15052009.com”,以此进行泄露用户敏感信息或者下载恶意程序的行为等,从而给用户造成更多的风险。另外,“酷脸”变种hs会通过在被感染系统注册表启动项中添加键值的方式实现开机后的自动运行。
