江民11.10病毒播报:冒牌货和阿拉婆变种

王朝学院·作者佚名  2009-11-11
窄屏简体版  字體: |||超大  

江民今日提醒您注意:在今天的病毒中Trojan/Mepaow.c“冒牌货”变种c和Worm/Allaple.cbh“阿拉婆”变种cbh值得关注。

英文名称:Trojan/Mepaow.c

中文名称:“冒牌货”变种c

病毒长度:863628字节

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:0578ef48895ca7341c5907241b214271

特征描述:

Trojan/Mepaow.c“冒牌货”变种c是“冒牌货”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,经过加壳保护处理。“冒牌货”变种c运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“HelpMe.exe”,文件属性设置为“系统、隐藏”。替换系统文件“C:\WINDOWS\system32\notepad.exe”、“C:\Program Files\Internet Explorer\iexplore.exe”和“C:\Program Files\Outlook Express\msimn.exe”,并将原系统文件写入病毒文件的尾部。如果反复运行“冒牌货”变种c,这三个文件会被反复写入,从而导致文件增大。用户在使用“记事本”、“IE浏览器”和“Outlook Express”时,都将激活“冒牌货”变种c。“冒牌货”变种c还会遍历各分区中的一些系统文件,并进行上述的替换行为。在被感染系统的所有分区根目录下创建“autorun.inf”(自动播放配置文件)和木马主程序文件“autorun.exe”,以此实现双击盘符后激活木马,从而达到了利用U盘等移动存储设备进行自我传播的目的,给计算机用户造成了更多的威胁。另外,“冒牌货”变种c会修改被感染系统的注册表,致使“显示隐藏文件”功能失效,同时实现开机后自动运行。

英文名称:Worm/Allaple.cbh

中文名称:“阿拉婆”变种cbh

病毒长度:79360字节

病毒类型:蠕虫

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:6549f4c40bd24d4bf60ca45225c9f756

特征描述:

Worm/Allaple.cbh“阿拉婆”变种cbh是“阿拉婆”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“阿拉婆”变种cbh运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“urdvxc.exe”。将恶意代码注入到“explorer.exe”、“winlogon.exe”等系统进程的内存空间中隐秘运行,防止自身被轻易地发现。连接骇客指定的IP地址“218.93.*.30:65520”,进行被感染计算机信息的反馈或接受骇客的攻击指令等。“阿拉婆”变种cbh会对随机的IP段进行139端口的探测,并利用可能存在的漏洞进行入侵。另外,“阿拉婆”变种cbh会通过修改注册表启动项或注册系统服务的方式实现开机自启。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航