江民今日提醒您注意:在今天的病毒中TrojanDropper.Small.ddx“小不点”变种ddx和Trojan/StartPage.cnv“初始页”变种cnv值得关注。
英文名称:TrojanDropper.Small.ddx
中文名称:“小不点”变种ddx
病毒长度:30208字节
病毒类型:木马释放器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:23b2626d09634a2e47438b127046fde8
特征描述:
TrojanDropper.Small.ddx“小不点”变种ddx是“小不点”木马释放器家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“小不点”变种ddx运行后,会在被感染计算机系统的“C:\”目录下释放恶意DLL组件“kisp.dll”,还会在“%SystemRoot%\fonts”和临时文件夹下释放临时的恶意驱动文件。在被感染系统的后台遍历所有正在运行的进程,一旦发现指定的安全软件存在便会尝试将其结束。监视所有正在运行程序的窗口标题,一旦发现标题中存在某些指定的字符串便会尝试将该窗口关闭。强行篡改注册表,导致系统中的“显示系统隐藏文件”功能失效。关闭甚至删除Windows自动更新以及各种安全软件的服务,并且会通过映象劫持功能干扰大量安全软件的正常启动,从而增加了被感染系统所面临的威胁。“小不点”变种ddx还可通过键盘模拟的方式来关闭“IceSword”的窗口,从而为用户使用相关工具对病毒进行查杀增加了难度。在被感染系统所有驱动器根目录下创建“autorun.inf”(自动播放配置文件)和木马主程序文件“GRIL.PIF”(“小不点”变种ddx),文件属性设置为“系统、隐藏”,以此实现双击盘符后激活木马,从而达到了利用存储设备进行自我传播的目的,给用户造成了更多的威胁。“小不点”变种ddx会在后台连接骇客指定的站点“http://winddk.c*.ma/”,获取恶意程序列表“tt.txt”,下载指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户遭受更多的侵害。另外,“小不点”变种ddx还会通过在注册表启动项中添加键值以及新建计划任务的方式来实现开机自动运行。
英文名称:Trojan/StartPage.cnv
中文名称:“初始页”变种cnv
病毒长度:303104字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:b8e2ad015a846804e4db6a633777ce19
特征描述:
Trojan/StartPage.cnv“初始页”变种cnv是“初始页”木马家族中的最新成员之一,采用“Microsoft Visual C++ v7.1”编写,是一个由其它恶意程序释放出来的DLL功能组件。“初始页”变种cnv运行时,会强行篡改IE浏览器的属性,设置IE浏览器默认主页为骇客指定站点,致使用户在打开IE浏览器后便会自动连接至该站点,从而增加其访问量,给骇客带来了非法的经济利益。连接骇客指定的远程服务器站点“http://address.22*.org/”、“http://www.gam*danji.cn/”,读取配置文件“..\exeini3\internetmonitordll.txt”,并根据文件中的设置,以指定的频率和位置弹出广告窗口,对用户造成了不同程度的干扰。“初始页”变种cnv还会向其它指定的服务器反馈当前计算机的信息,从而进行木马感染情况的统计。另外,“初始页”变种cnv可能会修改注册表,以此实现其随IE浏览器的启动而加载运行。
