江民4.30病毒播报:TrojanSpy.Delf变种病毒

4/30/2009来源:病毒数据库人气:4150

  江民今日提醒您注意:在今天的病毒中TrojanSpy.Delf.dmw“TrojanSpy.Delf”变种dmw和TrojanDropper.Agent.o“代理木马”变种o值得关注。

  英文名称:TrojanSpy.Delf.dmw
  中文名称:“TrojanSpy.Delf”变种dmw
  病毒长度:47104字节
  病毒类型:间谍木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:c3db9364d5bf4519f60454f036efe5ac
  特征描述:
  TrojanSpy.Delf.dmw“TrojanSpy.Delf”变种dmw是“TrojanSpy.Delf”间谍木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“TrojanSpy.Delf”变种dmw是一个网银木马的安装程序,运行后会将一个名为“smss32.exe”的恶意程序分别复制到被感染计算机系统中的“淘宝旺旺”安装目录、开始菜单的“启动”文件夹以及“%systemroot%\inf\”目录下,并且分别重新命名为“WangWangUpdate.exe”、“smss32.exe”和“svercmd.exe”。在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在,便会尝试结束其进程,从而达到了自我保护的目的。遍历被感染系统中的所有文件,如果发现包含“密码”、“银行”、“网银”、“账号”、“重要”等敏感字眼的文档、表格或图片文件,以及扩展名为“PFX”的证书备份文件,便会将其后台发送至骇客指定的远程FTP服务器“ftp://58.222.*.133”上,致使用户的私密信息泄露,由此可能还会造成更加严重的损失。“TrojanSpy.Delf”变种dmw会通过调用批处理指令的方式创建计划任务,以此实现每天7点至23点每小时的自启动运行。同时还会修改文件属性,从而更好的将自身进行隐藏。另外,“TrojanSpy.Delf”变种dmw还会通过“淘宝旺旺”的自动更新以及开始菜单“启动”项等方式实现开机后的自动运行。

  英文名称:TrojanDropper.Agent.o
  中文名称:“代理木马”变种o
  病毒长度:110680字节
  病毒类型:木马释放器
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:1c5ac92e50fae6a1d0838957b97c62e2
  特征描述:
  TrojanDropper.Agent.o“代理木马”变种o是“代理木马”木马释放器家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“代理木马”变种o运行后,会在被感染计算机系统的“%SystemRoot%\system32\”及“%SystemRoot%\system32\dllcache\”目录下释放与系统文件同名的恶意DLL组件“qmgr.dll”,还会在“%SystemRoot%\system32\drivers\etc\”目录下释放恶意脚本文件“tsdiss.vbs”。“代理木马”变种o运行时,会通过批处理命令关闭“Windows防火墙”服务,同时会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://www.huf*x.com/”,下载恶意程序“rj.jpg”至“%SystemRoot%\system32\drivers\etc\”目录下并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多潜在的威胁。另外,“代理木马”变种o会利用系统服务“BITS”(后台智能传输)来实现开机自动运行。