江民今日提醒您注意:在今天的病毒中Trojan/Mepaow.c“冒牌货”变种c和Worm/Allaple.cbh“阿拉婆”变种cbh值得关注。
英文名称:Trojan/Mepaow.c
中文名称:“冒牌货”变种c
病毒长度:863628字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:0578ef48895ca7341c5907241b214271
特征描述:
Trojan/Mepaow.c“冒牌货”变种c是“冒牌货”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,经过加壳保护处理。“冒牌货”变种c运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“HelpMe.exe”,文件属性设置为“系统、隐藏”。替换系统文件“C:\WINDOWS\system32\notepad.exe”、“C:\Program Files\Internet Explorer\iexplore.exe”和“C:\Program Files\Outlook Express\msimn.exe”,并将原系统文件写入病毒文件的尾部。如果反复运行“冒牌货”变种c,这三个文件会被反复写入,从而导致文件增大。用户在使用“记事本”、“IE浏览器”和“Outlook Express”时,都将激活“冒牌货”变种c。“冒牌货”变种c还会遍历各分区中的一些系统文件,并进行上述的替换行为。在被感染系统的所有分区根目录下创建“autorun.inf”(自动播放配置文件)和木马主程序文件“autorun.exe”,以此实现双击盘符后激活木马,从而达到了利用U盘等移动存储设备进行自我传播的目的,给计算机用户造成了更多的威胁。另外,“冒牌货”变种c会修改被感染系统的注册表,致使“显示隐藏文件”功能失效,同时实现开机后自动运行。
英文名称:Worm/Allaple.cbh
中文名称:“阿拉婆”变种cbh
病毒长度:79360字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:6549f4c40bd24d4bf60ca45225c9f756
特征描述:
Worm/Allaple.cbh“阿拉婆”变种cbh是“阿拉婆”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“阿拉婆”变种cbh运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“urdvxc.exe”。将恶意代码注入到“explorer.exe”、“winlogon.exe”等系统进程的内存空间中隐秘运行,防止自身被轻易地发现。连接骇客指定的IP地址“218.93.*.30:65520”,进行被感染计算机信息的反馈或接受骇客的攻击指令等。“阿拉婆”变种cbh会对随机的IP段进行139端口的探测,并利用可能存在的漏洞进行入侵。另外,“阿拉婆”变种cbh会通过修改注册表启动项或注册系统服务的方式实现开机自启。