木馬釋放器集合惡意程序 |
發(fā)布時(shí)間: 2012/7/4 14:20:16 |
木馬病毒—砸波變種znd和卡朵變種dx
中文名稱:“砸波”變種znd 病毒長度:606208字節(jié) 病毒類型:間諜木馬 危險(xiǎn)級(jí)別:兩星 影響平臺(tái):Win 9X/ME/NT/2000/XP/2003 MD5 校驗(yàn):cbcdf934cb85d53708761076df59fac7 特征描述: TrojanSpy.Zbot.znd“砸波”變種znd是“砸波”家族中的最新成員之一,采用高級(jí)語言編寫,經(jīng)過加殼保護(hù)處理。“砸波”變種znd運(yùn)行后,會(huì)自我復(fù)制到被感染系統(tǒng)的
文件夾下,重新命名為“sdra64.exe”。還會(huì)在被感染系統(tǒng)的
文件夾下釋放惡意文件
并將以上文件的屬性設(shè)置為“系統(tǒng)、隱藏、存檔”。在被感染計(jì)算機(jī)的后臺(tái)遍歷當(dāng)前系統(tǒng)中運(yùn)行的所有進(jìn)程,如果發(fā)現(xiàn)某些指定的安全軟件(“outpost.exe”、“zlclient.exe”)存在,“砸波”變種znd便會(huì)嘗試將其強(qiáng)行關(guān)閉,從而達(dá)到自我保護(hù)的目的。 “砸波”變種znd運(yùn)行時(shí),會(huì)在被感染系統(tǒng)的后臺(tái)秘密監(jiān)視用戶的鍵盤和鼠標(biāo)操作,伺機(jī)竊取用戶輸入的機(jī)密信息,并在后臺(tái)將竊得的信息發(fā)送到駭客指定的站點(diǎn)或郵箱中(地址加密存放),給被感染計(jì)算機(jī)用戶造成了不同程度的損失。還會(huì)查找是否存在
找到后則打開進(jìn)程獲取模塊句柄、獲取進(jìn)程絕對(duì)路徑判斷是否是該病毒要查找的文件路徑,若不是則關(guān)閉句柄,若是則申請(qǐng)內(nèi)存空間并從病毒體00400000為起始地址向以上進(jìn)程中寫入數(shù)據(jù)。其還會(huì)在被感染系統(tǒng)的后臺(tái)連接駭客指定的URL
“砸波”變種znd會(huì)通過發(fā)送垃圾郵件的方式進(jìn)行自身的傳播。另外,其會(huì)通過在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值、修改登陸初始化內(nèi)容等多種方式來實(shí)現(xiàn)自動(dòng)運(yùn)行。 英文名稱:TrojanDropper.Cadro.dx 中文名稱:“卡朵”變種dx 病毒長度:65536字節(jié) 病毒類型:木馬釋放器 危險(xiǎn)級(jí)別:一星 影響平臺(tái):Win 9X/ME/NT/2000/XP/2003 MD5 校驗(yàn):22fab6e4e6a1dfba251beeb5421dd2fa 特征描述: TrojanDropper.Cadro.dx“卡朵”變種dx是“卡朵”家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫。“卡朵”變種dx運(yùn)行后,會(huì)在被感染系統(tǒng)的
文件夾下釋放惡意文件“tmp.exe”、“s.exe”,然后把
移動(dòng)到
文件夾下并在后臺(tái)調(diào)用運(yùn)行。“tmp.exe”運(yùn)行時(shí),會(huì)在被感染系統(tǒng)的后臺(tái)連接駭客指定的站點(diǎn)
獲取惡意程序下載列表,下載指定的惡意程序并自動(dòng)調(diào)用運(yùn)行。其所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。 卡朵變種dx屬于某惡意程序集合中的部分功能組件,如感染此病毒,則說明當(dāng)前計(jì)算機(jī)系統(tǒng)中還感染了其它的病毒程序。另外,“卡朵”變種dx會(huì)在開始菜單“啟動(dòng)”文件夾下添加名為“ktv.lnk”的快捷方式(指向自身副本),以此實(shí)現(xiàn)自動(dòng)運(yùn)行。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |