江民4.17病毒播报:代理木马和QQ大盗变种

4/17/2009来源:病毒数据库人气:4525

  江民今日提醒您注意:在今天的病毒中Trojan/Agent.bxxq“代理木马”变种bxxq和Trojan/PSW.QQPass.vdb“QQ大盗”变种vdb值得关注。

  英文名称:Trojan/Agent.bxxq
  中文名称:“代理木马”变种bxxq
  病毒长度:121344字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:88f12634e291fb0a13055d9463906219
  特征描述:
  Trojan/Agent.bxxq“代理木马”变种bxxq是“代理木马”家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“代理木马”变种bxxq运行后,会在被感染计算机系统的“%SystemRoot%\”目录下释放经过加壳保护的恶意程序“tt.exe”,同时将其复制到“%SystemRoot%\system32\”目录下,重新命名为“cvsdfw.exe”。移动原始病毒文件至“%USERPROFILE%\Local Settings\Temp\”目录下并且重新命名为“nod*.tmp”,以此隐藏自我,防止被轻易地发现。在被感染计算机系统的后台查找指定进程“AVP.EXE”,一旦发现该进程的存在,便会释放恶意驱动程序“cdaudio.sys”到“%SystemRoot%\system32\drivers\”目录中,否则将释放“klif.sys”至其中。“代理木马”变种bxxq运行后,会利用恶意驱动程序关闭安全软件的自保护功能并终止其进程。同时,会通过修改或删除相应注册表项目的方式干扰其开机后的正常启动,致使用户更多的暴露在了风险之中。在后台遍历当前系统中所有正在运行的进程,并尝试通过多种方式来结束大量安全软件的运行,从而使得用户的计算机系统失去安全软件的防护。“代理木马”变种bxxq还会通过模拟鼠标点击操作(例如向安全软件窗口中的“允许”按钮发送鼠标点击消息)的方式来绕过安全软件的主动防御功能,从而达到了自我保护的目的,提高了自身的生存几率。另外,“代理木马”变种bxxq会通过在被感染系统注册表启动项中添加键值“anhtaas”的方式来实现木马“cvsdfw.exe”开机的自动运行。

  英文名称:Trojan/PSW.QQPass.vdb
  中文名称:“QQ大盗”变种vdb
  病毒长度:48480字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:649f95c6cc0c1070cc095a9ce01c280f
  特征描述:
  Trojan/PSW.QQPass.vdb“QQ大盗”变种vdb是“QQ大盗”盗号木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理,是一个通过弹出仿冒的“QQ”中奖消息窗口来诱骗用户上当,从而实施网络诈骗的木马程序。“QQ大盗”变种vdb运行后,会将恶意代码注入到“explorer.exe”进程中隐密运行。在被感染系统的后台遍历当前系统中所有运行的进程,一旦发现指定的安全软件正在运行,便会尝试将其结束。还会利用系统的映像劫持功能干扰大量安全软件的正常运行,致使用户的系统失去保护。“QQ大盗”变种vdb运行时,会在系统托盘区域模拟“QQ”广播的图标闪烁。用户点击后将会弹出提示中奖的仿冒“QQ”广播窗口,并进一步的将用户引导至钓鱼网站“http://www.qq.com.ind*.cn”中实施进一步的诈骗。同时,该站点还可能存在网页挂马等恶意行为,从而使得用户面临更多的威胁。另外,“QQ大盗”变种vdb会在系统注册表启动项中添加键值“qq”并以此实现木马的开机自启。