江民2.23病毒播报:尖峰洞和诈骗器变种病毒

2/23/2009来源:病毒数据库人气:4232

  江民今日提醒您注意:在今天的病毒中Packed.PePatch.oq“尖峰洞”变种oq和TrojanDownloader.FraudLoad.eb“诈骗器”变种eb值得关注。

  英文名称:Packed.PePatch.oq
  中文名称:“尖峰洞”变种oq
  病毒长度:39456字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:518d9653b480286aa8c093f1aed3abd4
  特征描述:
  Packed.PePatch.oq“尖峰洞”变种oq是“尖峰洞”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“尖峰洞”变种oq运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个经过加壳保护的恶意DLL组件。该组件会被插入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在后台执行恶意操作,隐藏自我,防止被查杀。“尖峰洞”变种oq是一个专门盗取即时聊天工具“腾讯QQ”账号和密码的木马程序,会在被感染计算机的后台查找系统中正在运行的所有进程,一旦发现“QQ.exe”进程便会迫使“QQ”用户掉线,使得“QQ”重新打开登陆窗口。此时,“尖峰洞”变种oq会将一个伪造的密码输入框覆盖在真正的密码输入框之上,然后通过鼠标控制、消息钩子等技术,将用户在伪造的输入框中所输入的密码窃取,并在后台将窃得的信息发送到骇客指定的远程服务器站点“http://18289.q**r.net/szqq/qq.asp”(地址加密存放)上,给用户造成了不同程度的虚拟财产损失。同时,“尖峰洞”变种oq还会在被感染计算机系统的后台连接骇客指定的远程站点“http://tj.77**.org”,读取配置文件,下载其中所列出的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临不同程度的风险。另外,“尖峰洞”变种oq会在注册表“ShellExecuteHooks”项下添加键值,以此实现木马的开机自动运行。

  英文名称:TrojanDownloader.FraudLoad.eb
  中文名称:“诈骗器”变种eb
  病毒长度:29696字节
  病毒类型:木马下载器
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:2411258ffe3c7688e4f424f57f1ddfa1
  特征描述:
  TrojanDownloader.FraudLoad.eb“诈骗器”变种eb是“诈骗器”木马家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,并且经过加壳保护处理。“诈骗器”变种eb运行后,会在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\RemInst”目录下分别释放DLL组件“Ntsvc.ocx”和木马程序“smss.exe”,并设置文件属性为“系统、隐藏”。“诈骗器”变种eb运行时,会先关闭“Windows系统防火墙服务”(Sharedaccess),然后在被感染计算机系统的后台连接骇客指定的远程FTP服务器站点“ftp://supertel.vi**.cc”,下载该FTP目录下的所有恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,可能会给被感染计算机用户造成不同程度的损失。“诈骗器”变种eb还具有自动更新的功能,会根据骇客指定服务器站点“http://smb.hom**z.cn/world/”的信息来决定自身是否需要进行更新。同时,“诈骗器”变种eb在运行结束后会通过调用批处理文件的方式来将自身删除,从而达到消除痕迹的目的。另外,“诈骗器”变种eb会在被感染计算机中注册系统服务,以此实现木马的开机自启。