3月10日病毒播報:“灰鴿子”變種abzh
2019/05/22 所在目錄:公司動態(tài) 中國IDC評述網(wǎng)03月10日報道:在今天的病毒里�����,需要謹慎防范“灰鴿子”變種abzh和“植木馬器”變種vy�����。
英文名稱:Backdoor/Huigezi.abzh
中文名稱:“灰鴿子”變種abzh
病毒長度:417374字節(jié)
病毒類型:后門
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:4d7737010758711e7ff9a37677ef3476
特征描述:
Backdoor/Huigezi.abzh“灰鴿子”變種abzh是“灰鴿子”家族中的最新成員之一����,采用高級語言編寫�����,經(jīng)過加殼保護處理?!盎银澴印弊兎Nabzh運行后,會自我復制到被感染系統(tǒng)的“%SystemRoot%”和“%programfiles%”文件夾下���,重新命名為“WindowsUpdate.exe”(文件屬性設置為“系統(tǒng)、隱藏”)����。“灰鴿子”變種abzh運行后���,會檢測被感染系統(tǒng)“%SystemRoot%system32drivers”文件夾下是否存在名為“klif.sys”的驅(qū)動文件����。運行iexplore.exe進程�,通過API函數(shù)“ZwUnmapViewOfSection”獲取IE進程的基址,之后申請內(nèi)存空間����,并將惡意代碼注入到其中隱秘運行。秘密連接駭客指定的站點“su*hen.3322.org”��,偵聽駭客指令,然后在被感染的計算機上執(zhí)行相應的惡意操作�。駭客可通過“灰鴿子”變種abzh完全遠程控制被感染的計算機系統(tǒng),從而給用戶的個人隱私甚至是企業(yè)的商業(yè)機密造成不同程度的侵害�����?!盎银澴印弊兎Nabzh的原病毒程序在運行完成后會將自我刪除,以此消除痕跡����。另外,其會通過新建名為“WindowsUpdate”的服務的方式實現(xiàn)開機自啟�。
英文名稱:Backdoor/Inject.vy
中文名稱:“植木馬器”變種vy
病毒長度:94131字節(jié)
病毒類型:后門
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:a02779da9b884e5879f9122cca57ab3f
特征描述:
Backdoor/Inject.vy“植木馬器”變種vy是“植木馬器”家族中的最新成員之一,采用高級語言編寫����,經(jīng)過加殼保護處理?���!爸材抉R器”變種vy運行后,會自我復制到被感染系統(tǒng)的“%SystemRoot%system32”文件夾下�����,重新命名為“ggfps.exe”。該后門會將惡意代碼插入到“explorer.exe”等幾乎所有的進程中隱秘運行�����,以此隱藏自我����,防止被輕易地查殺?����!爸材抉R器”變種vy運行時����,會在被感染系統(tǒng)的后臺秘密監(jiān)視用戶的鍵盤輸入�����,竊取用戶輸入的賬號及密碼等機密信息���,并在后臺將竊得的信息發(fā)送到駭客指定的遠程站點或郵箱里(地址加密存放)���,給被感染計算機用戶造成了不同程度的損失��。后臺連接駭客指定的遠程站點“hxxp://chid*le.com/twchi/”�,下載惡意程序“chidoule.gif”�、“chidoule.jpg”、“chidoule.bmp”并自動調(diào)用運行����。其所下載的惡意程序可能為網(wǎng)絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等��,致使用戶面臨更多的威脅��。另外��,“植木馬器”變種vy會在被感染系統(tǒng)注冊表啟動項中修改登陸初始化內(nèi)容(userinit)����,以此實現(xiàn)開機自啟。
資料來源:江民科技
粵公網(wǎng)安備44011302004697
