江民4.29病毒播报:克隆先生和QQ诈骗犯变种

4/29/2009来源:病毒数据库人气:4354

  江民今日提醒您注意:在今天的病毒中Packed.Klone.ym“克隆先生”变种ym和Trojan/QQFishing.fw“QQ诈骗犯”变种fw值得关注。

  英文名称:Packed.Klone.ym
  中文名称:“克隆先生”变种ym
  病毒长度:444416字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:de46ad90073a00e4774e1853546c28f8
  特征描述:
  Packed.Klone.ym“克隆先生”变种ym是“克隆先生”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“克隆先生”变种ym运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“RUser.Dll”(文件属性为“系统、隐藏、只读”),并通过“svchost.exe”将该组件加载运行,从而提高了自身的隐蔽程度。在被感染计算机后台不断尝试与控制端(地址为:w753214*.3322.org:82)进行连接,一旦连接成功,则被感染的计算机便会沦为骇客的傀儡主机。骇客可以向被感染计算机发送恶意指令,从而执行任意的控制操作,其中包括:文件管理、进程控制、注册表操作、远程命令执行,屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等,会给用户的个人隐私甚至是商业机密造成严重的威胁。同时,骇客还可以向傀儡主机传送大量的病毒、木马、流氓软件等恶意程序,对被感染计算机用户的信息安全构成了更加严重的威胁。另外,“克隆先生”变种ym会在被感染计算机中注册名为“1”的系统服务,以此实现木马的开机自启。

  英文名称:Trojan/QQFishing.fw
  中文名称:“QQ诈骗犯”变种fw
  病毒长度:62563字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:27c73c937c584bf79a7c6f91914de782
  特征描述:
  Trojan/QQFishing.fw“QQ诈骗犯”变种fw是“QQ诈骗犯”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“QQ诈骗犯”变种fw是一个通过弹出仿冒“QQ”中奖消息窗口来诱骗用户上当,从而实施网络诈骗的木马程序。“QQ诈骗犯”变种fw运行后,会将恶意代码注入到“explorer.exe”进程中隐密运行。遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在时,便会尝试将其结束。利用注册表映像劫持功能,干扰安全软件的正常运行,从而使得系统失去安全软件的防护,增加了遭受病毒侵害的风险。“QQ诈骗犯”变种fw运行时,会在系统托盘区域模仿“QQ”广播的“喇叭”图标闪烁,用户点击后将弹出虚假的中奖提示窗口,进一步地将用户引导至钓鱼网站“http://dcc.rqq88*.cn/”的指定页面并实施诈骗。同时,该网站可能还存在网页挂马等恶意行为,从而使得被感染计算机用户面临更多的威胁。“QQ诈骗犯”变种fw会通过在系统注册表启动项中添加键值“QQ7677”的方式来实现开机后自动运行。