5月4日病毒播報:需謹慎防范偽程序”變種chm和“系統殺手”變種bmh
2019/05/22 所在目錄:公司動(dòng)態(tài) 中國IDC評述網(wǎng)05月04日報道:在今天的病毒里�����,需要謹慎防范“偽程序”變種chm和“系統殺手”變種bmh���。
英文名稱(chēng):Trojan/Antavmu.chm
中文名稱(chēng):“偽程序”變種chm
病毒長(cháng)度:58028字節
病毒類(lèi)型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:9d679c4f833462dc355d471cf918f7a6
特征描述:
Trojan/Antavmu.chm“偽程序”變種chm是“偽程序”家族中的最新成員之一���,采用高級語(yǔ)言編寫(xiě)��,經(jīng)過(guò)加殼保護處理��?����!皞纬绦颉弊兎Nchm運行后���,會(huì )讀取指定文件“CONIN$”和“CONOUT$”�����。自我復制到被感染系統的“%SystemRoot%system32Setup”文件夾下�����,重新命名為“svchost.exe”�����。然后打開(kāi)服務(wù):“ FSMA”�����、“FSFW”���、“ZoneAlarm”�����、“kmxbig”��、“sfilter”��、“MpsSvc”���、“fsbts”���、“kmxfile”�����、“klpid”�����、“OutpostFirewall”��、“WinDefend”��、“kmxagent”���、“kmxcfg”���、“kmxfw”���、“SmcService”��、“F-Secure Gatekeeper”�����、“kmxndis”���、“F-Secure Recognizer”��、“Norton Antivirus Service”��、“ FSDFWD”��、“l(fā)nsfw1”��、“F-Secure Gatekeeper Handler Starter”��、“sharedaccess”�����、“klif”���、“vsmon”��、“F-Secure HIPS”���、“Panda Antivirus”�����、“vsdatant”��、“McAfee Framework Service”���、“UmxPol”等��。搜索注冊表���,刪除大多數安全軟件的啟動(dòng)項鍵值���,從而達到自我保護的目的�����?��!皞纬绦颉弊兎Nchm運行時(shí)�����,會(huì )在被感染系統的后臺連接駭客指定的URL“ntci*ndation.ca/aff/script.php?magic=437153110006&ox=2-5-1-2600&tm=60&id=-1&cache=0826356259”��,秘密下載惡意程序到被感染系統中并自動(dòng)調用運行���。這些惡意程序可能為網(wǎng)絡(luò )游戲盜號木馬�����、遠程控制后門(mén)或惡意廣告程序(流氓軟件)等���,會(huì )給用戶(hù)造成不同程度的損失���。另外���,“偽程序”變種chm會(huì )在被感染系統中注冊名為“svchost32”的系統服務(wù)�����,以此實(shí)現自動(dòng)運行���。
英文名稱(chēng):Trojan/AntiAV.bmh
中文名稱(chēng):“系統殺手”變種bmh
病毒長(cháng)度:277504字節
病毒類(lèi)型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:b51fb02b7bf8e7c43fed59b574e4f6e2
特征描述:
Trojan/AntiAV.bmh“系統殺手”變種bmh是“系統殺手”家族中的最新成員之一���,采用“Borland Delphi 6.0 - 7.0”編寫(xiě)���,經(jīng)過(guò)加殼保護處理�����?�!跋到y殺手”變種bmh運行后�����,會(huì )自我復制到被感染系統的“%programfiles%Windows NT”文件夾下��,重新命名為“SERVICES.EXE”��。其會(huì )在被感染系統的“%SystemRoot%system32”文件夾下釋放經(jīng)過(guò)加殼保護的惡意DLL組件“ACE.dll”���。遍歷當前系統運行的所有進(jìn)程���,一旦發(fā)現某些安全軟件的進(jìn)程存在�����,便會(huì )嘗試將其結束�����,致使被感染系統失去安全軟件的防護�����?�!跋到y殺手”變種bmh運行時(shí)���,會(huì )將釋放的惡意DLL組件“ACE.dll”插入到系統桌面程序“explorer.exe”等進(jìn)程中隱秘運行�����。后臺執行相應的惡意操作��,以此隱藏自我�����,防止被輕易地查殺��。在被感染系統的后臺秘密監視用戶(hù)的鍵盤(pán)和鼠標操作�����,伺機竊取用戶(hù)輸入的機密信息�����,并在后臺將竊得的信息發(fā)送到駭客指定的站點(diǎn)或郵箱中(地址加密存放)���,給被感染系統用戶(hù)造成了不同程度的損失�����?����!跋到y殺手”變種bmh在運行完成后會(huì )創(chuàng )建批處理文件“$$cD.tmp.bat”并在后臺調用執行��,以此將自身刪除�����。另外�����,“系統殺手”變種bmh會(huì )通過(guò)在被感染系統注冊表啟動(dòng)項中修改登陸初始化內容實(shí)現自動(dòng)運行��。
資料來(lái)源:江民科技
粵公網(wǎng)安備44011302004697
