警惕“AV殺手”變種et

病毒資料如下：

英文名稱：Trojan/Antavmu.cbu

中文名稱：“偽程序”變種cbu

病毒長度：32844字節(jié)

病毒類型：木馬

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：ad3e572a874a0a57f88ba48b829e9f37

特征描述：

Trojan/Antavmu.cbu“偽程序”變種cbu是“偽程序”家族中的最新成員之一，采用“Microsoft Visual Basic 5.0 / 6.0”編寫，經(jīng)過加殼保護(hù)處理。“偽程序”變種cbu運(yùn)行后，會執(zhí)行命令

“cacls.exe %SystemRoot%\system32\cmd.exe /e /t /g everyone:F” 

來賦予所有用戶對cmd.exe的控制權(quán)限。將被感染系統(tǒng)“%programfiles%\360safe\safemon\”文件夾下的DLL組件“safemon.dll”重命名為“safemes.dll”，將“%programfiles%\Rising\AntiSpyware\”文件夾下的DLL組件“ieprot.dll”重命名為“iepret.dll”。刪除“%SystemRoot%\system32\”文件夾下的舊版本病毒文件

“ttjj34.ini”、“SoundMan.exe”、“zozz.exe”、“zozzo.exe”、“vpcma.exe”、“soliee.exe”、“inertno.exe”、“xox.exe”、“zozo.exe”、“sosos.exe”、“solin.exe”、“inertne.exe”、“notepde.exe” 

還會強(qiáng)行關(guān)閉服務(wù)

“wscsvc”、“sharedaccess”、“KPfwSvc”、“KWatchsvc”、“McShield”、“Norton AntiVirus Server” 

創(chuàng)建進(jìn)程快照，如果發(fā)現(xiàn)名為

“shstat.exe”、“runiep.exe”、“ras.exe”、“MPG4C32.exe”、“imsins.exe”、“Iparmor.exe”、“360safe.exe”、“360tray.exe”、“kmailmon.exe”、“kavstart.exe”、“avp.exe”、“SonndMan.exe”、“Vmware.exe”、“exename”、“vpcma.exe”、“cmd.exe”、“cacls.exe”、“notepde.exe” 

的進(jìn)程，“偽程序”變種cbu則會試圖強(qiáng)行結(jié)束該進(jìn)程。其會在被感染計算機(jī)系統(tǒng)的“%SystemRoot%\”文件夾下釋放惡意程序“BarClientServer.exe”，在“%SystemRoot%\system32\”文件夾下釋放“inertno.exe”，并將以上文件屬性設(shè)置為“系統(tǒng)、隱藏”。在“%SystemRoot%\system32\”文件夾下釋放配置文件“ttjj34.ini”。在被感染系統(tǒng)的后臺連接駭客指定的站點(diǎn)“www.caif*678.cn:81/rc/xms/”，獲取惡意程序下載列表，下載指定的惡意程序并自動調(diào)用運(yùn)行。其所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等，致使用戶面臨更多的威脅。

在被感染系統(tǒng)中新建名為“new1”、密碼為“12369”的用戶，為駭客留下后門，致使被感染系統(tǒng)可被不法分子遠(yuǎn)程登錄、控制，進(jìn)而淪為攻擊跳板或肉雞。“偽程序”變種cbu在被感染系統(tǒng)中安裝完畢后，會創(chuàng)建批處理文件“2.bat”并在后臺調(diào)用執(zhí)行，以此將自身刪除。另外，其會通過修改已有服務(wù)“helpsvc”的方式實(shí)現(xiàn)自動運(yùn)行。

病毒的介紹就為大家介紹完了，希望大家多多了解防范病毒的措施，更好的保護(hù)自己的主機(jī)。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]