江民10.10病毒播报:克隆先生和QQ大盗变种

10/10/2009来源:病毒数据库人气:4270

  江民今日提醒您注意:在今天的病毒中Packed.Klone.com“克隆先生”变种com和Trojan/PSW.QQPass.xfo“QQ大盗”变种xfo值得关注。

  英文名称:Packed.Klone.com
  中文名称:“克隆先生”变种com
  病毒长度:22016字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:c1a1d9da15a0af0c8dc07ca1ce6dd4ee
  特征描述:
  Packed.Klone.com“克隆先生”变种com是“克隆先生”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“克隆先生”变种com运行后,会在被感染计算机系统的“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动程序“*.sys”(*为随机7个英文字母)。利用该驱动程序,“克隆先生”变种com可以关闭安全软件的自保护功能,并试图终止大量安全软件、系统监视诊断程序以及调试软件的进程,同时还会利用注册表映像劫持功能,干扰这些程序的正常启动。其还会恶意修改系统时间,从而关闭某些安全软件的监控功能,致使用户失去安全软件的保护。“克隆先生”变种com运行时,会在被感染计算机系统的后台连接骇客指定的站点,读取恶意程序下载列表,然后根据列表中的设置下载大量的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序(流氓软件)等,给用户造成了不同程度的损失。

  英文名称:Trojan/PSW.QQPass.xfo
  中文名称:“QQ大盗”变种xfo
  病毒长度:68096字节
  病毒类型:盗号木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:f48c075adbcac7c1cfb0455eb7dc511f
  特征描述:
  Trojan/PSW.QQPass.xfo“QQ大盗”变种xfo是“QQ大盗”盗号木马家族中的最新成员之一,采用“Borland C++”编写,并且经过加壳保护处理。“QQ大盗”变种xfo运行后,会在被感染计算机系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“*.dat”(*为随机8个字母),同时复制为“vnd.dll”,另外还会复制系统DLL文件“advapi32.dll”和“kernel32.dll”为“nfv.dll”和“zrh.dll”。“QQ大盗”变种xfo会将恶意DLL文件插入到“explorer.exe”进程中加载运行,并在后台连接骇客指定的URL“http://1d4.s*b6v5.com/f.asp”等下载其它的恶意程序,从而可能给用户造成更大的损失。另外,“QQ大盗”变种xfo会通过在被感染系统注册表启动项“ShellServiceObjectDelayLoad”中添加新键“asi”的方式实现其释放的恶意DLL文件的自动运行。