【3.A.S.T】网络安全爱好者's Archiver

黑客学习

zclzhao 发表于 2009-11-3 16:09

谨防“歪风”蠕虫和“萨斯风”木马病毒

江民今日提醒您注意:在今天的病毒中Worm/Abuse.a“歪风”变种a和Trojan/Sasfis.a“萨斯风”变种a值得关注。  


英文名称:Worm/Abuse.a  

中文名称:“歪风”变种a  

病毒长度:95232字节  

病毒类型:蠕虫  

危险级别:★★  

影响平台:Win 9X/ME/NT/2000/XP/2003  

MD5 校验:c7b4f8df483124bddedea4af6bd1a590  

特征描述:  

Worm/Abuse.a“歪风”变种a是“歪风”蠕虫家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“歪风”变种a运行后,会自我复制到被感染系统的“C:\Program Files\Common Files\”目录下,重新命名为“SysAnti.exe”,文件属性设置为“系统、隐藏”。在“%SystemRoot%\fonts\”目录下释放恶意DLL组件“*.DLL”(随机5个字母的文件名),还会在“%SystemRoot%\fonts\”和“%USERPROFILE%\Local Settings\”目录下分别释放恶意驱动程序“*.fon”(随机5个字母的文件名)和“Temp~*.tmp”。安装完成后,原病毒程序会将自我删除,以此消除痕迹。“歪风”变种a运行时,会创建新的“svchost.exe”和“iexplorer.exe”进程,并将恶意代码注入其中隐秘运行。利用释放的恶意驱动程序,其可以关闭指定安全软件的自我保护功能,进而关闭这些软件的窗口和进程,还会利用映像文件劫持特性干扰这些软件的正常启动。在被感染计算机的后台强行篡改系统中的“hosts”文件,阻止用户对某些安全站点的访问,防止用户通过网络获取病毒的查杀信息。在被感染系统的后台连接骇客指定的远程服务器站点“[url]http://aa.97aiww[/url]*.cn/”,获取恶意程序下载列表“mm.txt”,然后下载指定的恶意程序并自动调用运行。另外还会从“http://down.*yue.info/down.php?id=”下载其它的恶意程序,从而给用户造成更多的威胁。连接指定网站的页面“[url]http://tj.97aiww[/url]*.cn/se/Count.asp”,以此进行被感染系统信息的反馈。在被感染计算机的系统盘根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫主程序副本,文件属性设置为“系统、隐藏”,以此实现双击盘符后激活蠕虫的目的,从而给用户造成更多的威胁。另外,“歪风”变种a会在被感染系统注册表启动项中添加键值,以此实现其开机后的自动运行。同时其会在被感染计算机重新启动时,替换“%SystemRoot%\system32\dllcache\”和“%SystemRoot%\”目录下的系统文件“explorer.exe”。  


英文名称:Trojan/Sasfis.a  

中文名称:“萨斯风”变种a  

病毒长度:17920字节  

病毒类型:木马  

危险级别:★  

影响平台:Win 9X/ME/NT/2000/XP/2003  

MD5 校验:8ee1a3174053bd269d02f7a42fc105f1  

特征描述:  

Trojan/Sasfis.a“萨斯风”变种a是“萨斯风”木马家族中的最新成员之一。“萨斯风”变种a运行后,会在被感染计算机系统的临时文件夹下释放恶意DLL组件“*.tmp”并调用运行。该文件会被复制到“%SystemRoot%\system32\”文件夹下,重新命名为“tapi.nfo”。“萨斯风”变种a运行时,会将恶意代码注入到新建进程“svchost.exe”中隐秘运行。连接骇客指定的页面“http://zflaer*root.cn/tmp/bb.php”,获取配置信息,并根据其中的设置,以一定的时间间隔进行访问指定页面、下载其它恶意程序等操作。另外,“萨斯风”变种a会修改注册表,以此实现木马的开机自动运行。

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.