江民今日提醒您注意:在今天的病毒中TrojanDownloader.Xanda.s“X疙瘩”变种s和Worm/Bezopi.ff“奔走瓢虫”变种ff值得关注。
英文名称:TrojanDownloader.Xanda.s
中文名称:“X疙瘩”变种s
病毒长度:24581字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:21f34684307be6e9637cc7ccf9906906
特征描述:
TrojanDownloader.Xanda.s“X疙瘩”变种s是“X疙瘩”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理。“X疙瘩”变种s运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL文件“Dhostsys36.dll”,同时通过批处理指令将自身复制到该目录下,重新命名为“Dhostsys36.exe”,之后会将原病毒程序删除。“X疙瘩”变种s运行时,会试图关闭一些指定杀毒软件的进程和系统防火墙服务。打开指定网页“http://www.222*.cn/chajian/heimeng/count.asp?”,反馈被感染系统的网卡地址等用以进行统计。其会通过修改注册表项、IE快捷方式、“傲游”、“Opera”、“腾讯TT”等浏览器的配置文件的方式,修改并锁定浏览器的首页。“X疙瘩”变种s还可能会下载指定恶意程序并调用运行,从而给用户造成更多威胁。“X疙瘩”变种s会将释放的DLL注册为浏览器辅助对象,以此实现相关病毒文件的自动运行。
英文名称:Worm/Bezopi.ff
中文名称:“奔走瓢虫”变种ff
病毒长度:38400字节
病毒类型:蠕虫
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:6a540008004c6bf4abaf117207acc4fc
特征描述:
Worm/Bezopi.ff“奔走瓢虫”变种ff是“奔走瓢虫”家族中的最新成员之一,经过加壳保护处理。“奔走瓢虫”变种ff运行后,会自我复制到被感染系统的“%ProgramFiles%\Microsoft Common\”文件夹下,重新命名为“svchost.exe”。在“%SystemRoot%\system32\drivers\”文件夹下释放一个临时的驱动文件,用以关闭某些安全软件的监控功能。之后,原病毒程序会将自我删除,以此消除痕迹。“奔走瓢虫”变种ff会注入系统中已存在的“svchost.exe”进程或“explorer.exe”进程中隐秘运行,并且会连接指定页面“http://dia*.cn/123/ld.php”获取加密的配置信息,进而执行下载其它恶意程序、监听用户网络通信、建立后门等操作,从而给用户带来更多的风险。另外,“奔走瓢虫”变种ff会通过在被感染系统注册表启动项中添加键值“svchost”和利用映像文件劫持功能劫持“explorer.exe”的方式实现开机自启。
