扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在今天的病毒中,“变异体”变种buy和“通犯”变种gxm值得关注。
英文名称:TrojanDownloader.Geral.buy
中文名称:“变异体”变种buy
病毒长度:42968字节
病毒类型:木马下载器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:14d996f8287358dd80dd798bc5fb26ab
特征描述:
TrojanDownloader.Geral.buy“变异体”变种buy是“变异体”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“变异体”变种buy运行后,会首先将自身复制到“%SystemRoot%\\system32\\”文件夹下,重新命名为“kav.exe”。在“%SystemRoot%\\system32\\”文件夹下释放“jxgamepacik.pak”,在“%programfiles%\\KAV\\”文件夹下释放“TvPlus.dll”,在“%programfiles%\\KAV\\”文件夹和“%SystemRoot%\\system32\\drivers\\”文件夹下释放恶意驱动程序“TvPlus.sys”和“pcidump.sys”,还会在系统盘根目录下创建名为“RECYCLER”的隐藏文件夹,并在其中创建恶意程序“ITss.exe”。释放完成后,原病毒程序会将自身删除,以此消除痕迹。后台遍历当前系统中运行的所有进程,一旦发现指定的安全软件存在,“变异体”变种buy便会尝试将其强行关闭,以此达到自我保护的目的。删除并创建假冒的IE快捷方式,通过该快捷方式启动的IE浏览器会自动访问骇客指定的站点“hxxp://www.dh*06.com/?72”,从而增加了相关站点的访问量,给骇客带来了非法的经济利益。另外,其还会在桌面上创建指向“hxxp://888.qq2*3.com/ ”的垃圾Internet快捷方式,从而诱骗用户进行访问。在被感染系统的后台连接骇客指定的远程站点“121.14.*.117”,获取恶意程序下载列表,然后下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“变异体”变种buy会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。
英文名称:Trojan/Generic.gxm
中文名称:“通犯”变种gxm
病毒长度:153600字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:45dd6f60819308fa7f262a63e977de0b
特征描述:
Trojan/Generic.gxm“通犯”变种gxm是“通犯”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“通犯”变种gxm运行后,会在被感染系统的“%USERPROFILE%\\Local Settings\\Temp\\”文件夹下释放恶意批处理程序“~DA.bat”(属性设置为“隐藏”)并自动调用运行。还会在“%USERPROFILE%\\Application Data”文件夹下释放“ie.ICO”、“taobao.ico”、“Intrenet Explorer.lnk”、“889.reg”、“ruixing0513.exe”、“957.reg”。在桌面上创建指向“hxxp://www.ha*23.com.cn”的垃圾快捷方式,从而增加了指定站点的访问量,给骇客带来了非法的经济利益。另外,“通犯”变种gxm会定时弹出恶意广告页面,从而给被感染系统用户造成了不同程度的侵扰。其还会从骇客指定的站点下载恶意程序并自动调用运行,从而给用户造成了更多的威胁。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者