Board logo

标题: 提早防范“U盘寄生虫”和“恶魔棍”后门病毒 [打印本页]

作者: zclzhao    时间: 2009-11-23 13:50     标题: 提早防范“U盘寄生虫”和“恶魔棍”后门病毒

在今天的病毒中Worm/AutoRun.lrl“U盘寄生虫”变种lrl和Backdoor/Emogen.ew“恶魔棍”变种ew值得关注。  


英文名称:Worm/AutoRun.lrl  

中文名称:“U盘寄生虫”变种lrl  

病毒长度:24064字节  

病毒类型:蠕虫  

危险级别:★★  

影响平台:Win 9X/ME/NT/2000/XP/2003  

MD5 校验:901a96bdda1a858ac92e0a04e46ea197  

特征描述:  

Worm/AutoRun.lrl“U盘寄生虫”变种lrl是“U盘寄生虫”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“U盘寄生虫”变种lrl运行后,会在“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“*.dll”(文件名从netsvcs服务组中依次获取,一般从“6to4”开始),另外还会在临时文件夹下释放恶意驱动程序“SvcMain.sys”,用以结束各类安全软件的自我保护。利用注册表映像文件劫持,干扰各类安全软件的正常启动运行,从而降低了被感染系统的安全性。“U盘寄生虫”变种lrl释放的DLL文件在运行后,会连接骇客指定的URL“http://www.dy20*4.com/msn/mm.txt”,从而进行下载其它恶意程序以及在被感染计算机上访问指定挂马页面的行为,给用户造成了更大的损失。“U盘寄生虫”变种lrl可通过移动存储设备及网上邻居进行传播。其会自我复制为“[盘符];\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe”,并生成“autorun.inf”文件,从而利用系统的自动播放功能激活自我。尝试连接存在弱口令的局域网内电脑,一旦连接成功,便会将自身复制到其“C:\”根目录下,重新命名为“bootfont.exe”,并利用计划任务功能将其激活。“U盘寄生虫”变种lrl还会对部分扩展名为“.exe”、“.asp”、“.htm”、“.html”、“.aspx”及“.RAR”的文件进行感染,从而给用户造成更多的隐患。另外,“U盘寄生虫”变种lrl会在被感染计算机中注册系统服务,以此实现其开机自动运行。  


英文名称:Backdoor/Emogen.ew  

中文名称:“恶魔棍”变种ew  

病毒长度:369899字节  

病毒类型:后门  

危险级别:★★  

影响平台:Win 9X/ME/NT/2000/XP/2003  

MD5 校验:35a156f5f6265ef112f6ca28e6c923af  

特征描述:  

Backdoor/Emogen.ew“恶魔棍”变种ew是“恶魔棍”后门家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“恶魔棍”变种ew运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“user2.dll”,同时修改文件的时间属性,以此迷惑用户。同时会将原病毒文件删除,以此消除痕迹。“恶魔棍”变种ew释放的DLL文件在运行后,会不断尝试与控制端(地址为:niaoniaokk.33*.org:1987)进行连接。一旦连接成功,则被感染的计算机便会沦为傀儡主机,从而接受骇客的任何控制、操作,严重地侵害了用户的个人隐私。同时,骇客还可以向傀儡主机上传大量的恶意程序,从而构成更加严重的威胁。另外,“恶魔棍”变种ew会修改系统服务“BITS”(后台智能传输服务)所调用的文件指向,从而实现了开机自启。




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2