6月計算機病毒總結:三個變種病毒分析 |
發(fā)布時間: 2012/7/4 11:38:54 |
計算機病毒——“灰鴿子”變種bdgv
Backdoor/Huigezi.bdgv“灰鴿子”變種bdgv是“灰鴿子”家族中的最新成員之一,采用“Borland Delphi 6.0 - 7.0”編寫,經(jīng)過加殼保護處理。“灰鴿子”變種bdgv運行后,會自我復制到被感染系統(tǒng)的“%SystemRoot%\”文件夾下,重新命名為“Utility Mang.exe”。文件屬性設置為“系統(tǒng)、隱藏、只讀、存檔”。 “灰鴿子”變種bdgv屬于反向連接后門程序,其會在被感染系統(tǒng)的后臺連接駭客指定的站點“woairoji.3322.org”,獲取客戶端IP地址,偵聽駭客指令,從而達到被駭客遠程控制的目的。該后門具有遠程監(jiān)視、控制等功能,可以監(jiān)視用戶的一舉一動(如:鍵盤輸入、屏幕顯示、光驅操作、文件讀寫、鼠標操作和攝像頭操作等)。還可以竊取、修改或刪除計算機中存儲的機密信息,從而對用戶的個人隱私甚至是商業(yè)機密構成嚴重的威脅。 據(jù)悉,感染“灰鴿子”變種bdgv的系統(tǒng)還會成為網(wǎng)絡僵尸傀儡主機,利用這些傀儡主機駭客可對指定站點發(fā)起DDoS攻擊、洪水攻擊等,給互聯(lián)網(wǎng)的信息安全造成了更多的威脅。該后門的傳播途徑一般為網(wǎng)頁木馬,如果用戶的計算機系統(tǒng)存在相應的漏洞,則會增加感染該病毒的風險,甚至是多次重復感染。另外,“灰鴿子”變種bdgv會在被感染系統(tǒng)中注冊名為“Utility Mangserver”的系統(tǒng)服務,以此實現(xiàn)自動運行。 計算機病毒——“倔客”變種kwc Trojan/Jorik.kwc"倔客”變種kwc是“倔客”家族中的最新成員之一,采用“Microsoft Visual C++ 7.0”編寫。“倔客”變種kwc運行后,會創(chuàng)建名為“www.gutefrage.net”的互斥體,以防止二次運行。然后會自我復制到被感染系統(tǒng)的“%USERPROFILE%\Application Data\”文件夾下,重新命名為“Raiyip.exe”。“倔客”變種kwc會利用IRC協(xié)議(互聯(lián)網(wǎng)中繼聊天)與服務器“79.7.146.62.in-addr.arpa”建立連接,并與服務器進行命令交互,以此實現(xiàn)遠程控制的目的。其可根據(jù)服務器發(fā)送的指令,以FTP和HTTP的方式下載網(wǎng)絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,給被感染系統(tǒng)用戶造成了更多的侵害。 據(jù)悉,“倔客”變種kwc還會對指定IP發(fā)動DDos攻擊、向MSN聯(lián)系人發(fā)送帶毒壓縮文件,從而造成了更大的破壞與威脅。在被感染系統(tǒng)的后臺連接駭客指定的站點“data.fuskbugg.se”,獲取惡意程序下載列表“4e28ae2064f07_av.txt”,下載指定的惡意程序并自動調(diào)用運行。其所下載的惡意程序可能為網(wǎng)絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。 該木馬的傳播途徑一般為網(wǎng)頁木馬,如果用戶的計算機系統(tǒng)存在相應的漏洞,則會增加感染該病毒的風險,甚至是多次重復感染。另外,“倔客”變種kwc會在被感染系統(tǒng)注冊表啟動項中添加鍵值,以此實現(xiàn)自動運行。 計算機病毒——“克隆先生”變種jsa Packed.Klone.jsa“克隆先生”變種jsa是“克隆先生”家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫,經(jīng)過加殼保護處理,是一個由其它惡意程序釋放的DLL功能組件。 “克隆先生”變種jsa運行后,會將自身插入到系統(tǒng)桌面程序“explorer.exe”進程中隱秘運行。后臺執(zhí)行相應的惡意操作,以此隱藏自我,防止被輕易地查殺。遍歷當前系統(tǒng)運行的所有進程,一旦發(fā)現(xiàn)某些安全軟件的進程存在,便會嘗試將其結束,致使被感染系統(tǒng)失去安全軟件的防護。 “克隆先生”變種jsa是一個專門盜取網(wǎng)絡游戲會員賬號的木馬程序,其會在被感染系統(tǒng)的后臺秘密監(jiān)視系統(tǒng)所運行程序的窗口標題,一旦發(fā)現(xiàn)指定程序啟動,便會利用鍵盤鉤子、內(nèi)存截取或封包截取等技術盜取網(wǎng)絡游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息,并在后臺將竊得的信息發(fā)送到駭客指定的站點(地址加密存放),致使網(wǎng)絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失,給游戲玩家造成了不同程度的損失。“克隆先生”變種jsa屬于某惡意程序集合中的部分功能組件,如果感染此病毒,則說明系統(tǒng)中還感染了其它的惡意程序。 本文出自:億恩科技【mszdt.com】 |