江民今日提醒您注意:在今天的病毒中Worm/Piloyd.b“无极杀手”变种b和Trojan/PSW.QQPass.xof“QQ大盗”变种xof值得关注。
英文名称:Worm/Piloyd.b
中文名称:“无极杀手”变种b
病毒长度:25600字节
病毒类型:蠕虫
危险级别:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:364bec94c8f9792829b5698ebfafd051
特征描述:
Worm/Piloyd.b“无极杀手”变种b是“无极杀手”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“无极杀手”变种b运行后,会替换系统文件“%SystemRoot%\system32\qmgr.dll”(BITS后台智能传输服务所对应的文件),以此实现开机自启。同时通过批处理将自我复制为“%SystemRoot%\system32\dllcache\lsasvc.dll”,然后原病毒程序会将自我删除,从而消除痕迹。“无极杀手”变种b运行时,会试图关闭大量安全软件的相关进程,并利用注册表映像文件劫持干扰这些程序的正常启动运行。如果其发现系统中运行着特定的安全软件,便会释放恶意驱动程序“%SystemRoot%\system32\drivers\LiTdi.sys”,用以结束安全软件的自我保护。通过自带的弱口令列表尝试对网上邻居进行口令猜解,被成功猜解的系统将会被其感染。“无极杀手”变种b会在可移动存储设备的根目录下创建“recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe”和“autorun.inf”,以此实现通过移动存储设备进行传播的目的。感染计算机中存储的“exe”、“htm”、“html”、“asp”、“aspx”和“rar”格式文件(在网页格式文件中插入挂马脚本“http://mm.aa8856*.cn/index/mm.js”),致使系统用户面临被多次感染的风险。连接骇客指定的站点“http://bbnn7*.114central.com”,下载大量恶意程序并调用运行,从而给用户造成更多的威胁。另外,其会访问骇客指定的页面“http://nbtj.114anhu*.com/msn/163.htm”,以此对被感染系统进行统计。
英文名称:Trojan/PSW.QQPass.xof
中文名称:“QQ大盗”变种xof
病毒长度:68608字节
病毒类型:盗号木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:188c0e8c68d4d8708f753e6a0b25253a
特征描述:
Trojan/PSW.QQPass.xof“QQ大盗”变种xof是“QQ大盗”家族中的最新成员之一,采用“Borland C++”编写,经过加壳保护处理。“QQ大盗”变种xof运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“*.dat”(文件名为随机8个字母),同时会复制为“vnd.dll”。还会复制系统DLL文件“advapi32.dll”和“kernel32.dll”为“nfv.dll”和“zrh.dll”。“QQ大盗”变种xof会将恶意DLL文件插入到“explorer.exe”进程中并安装消息钩子。连接骇客指定的页面“http://s1d4.s*b6v5.com/f.asp”等进行其它恶意程序的下载等,由此可能会给用户造成更大的损失。另外,“QQ大盗”变种xof会在被感染系统注册表启动项的“ShellServiceObjectDelayLoad”键下添加键值“asi”,以此实现其释放的恶意文件的开机自启。
