11月12日病毒木马播报：链接非法网络站点

导读:关注病毒木马资讯是每个个人电脑用户应该做到的一件事情,如果不及时清除感染的电脑病毒,会令个人电脑用户的隐私和网络财产受到严重的威胁,在电脑越来越与我们的生活紧密相连的今天,请稍作停留,了解下11月12日的病毒木马播报.

在今天的病毒里，需要谨慎防范“异鬼”变种eob和“友好客户”变种aips。

英文名称：Trojan/Cosmu.eob

中文名称：“异鬼”变种eob

病毒长度：70144字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：5abf7449177ed4dc09d6a7fc0993a616

特征描述：

Trojan/Cosmu.eob“异鬼”变种eob是“异鬼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。通过这个快捷方式启动的IE浏览器会自动访问骇客指定的站点“i.16*vv.com/?80”。其还会在桌面上创建指向“hxxp://888.qq*33.com/”、“hxxp://888.qq2233.com/”、“hxxp://888.qq*33.com/taobao.htm”的Internet快捷方式，从而诱导用户对这些站点进行访问。“异鬼”变种eob会在被感染系统的后台遍历正在运行的所有程序，一旦发现某些指定的安全软件存在，“异鬼”变种eob便会尝试将其强行关闭，以此达到自我保护的目的。其还会破坏被感染系统的“隐藏受保护的操作系统文件”功能，以此更好地进行自我隐藏。另外，其会在开始菜单“启动”文件夹下添加名为“TSPS”的快捷方式（指向恶意程序“ugn32x.exe”），以此实现开机自动运行。 “异鬼”变种eob运行后，会在被感染计算机的系统盘根目录下释放恶意程序“ugn32x.exe”并调用运行（系统重启后“ugn32x.exe”会被重新命名为“NULL”，并且会在系统盘根目录下创建“TSTP”目录并在其中释放恶意程序“winlogon.exe”）。在被感染系统的后台定时访问指定的恶意站点“hxxp://lovechina.b*444.com/GoGoGo888.ashx?Mac=”，以此提高这些网站的访问量（网络排名），给骇客带来了非法的经济利益。删除桌面上的IE浏览器快捷方式，然后会创建假冒的IE快捷方式。

英文名称：Backdoor/PcClient.aips

中文名称：“友好客户”变种aips

病毒长度：48128字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：773a2faeda0b6e6c539b12d5801a27c9

特征描述：

“友好客户”变种aips属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的远程站点“ice*2008.vicp.net”，获取客户端的IP地址，侦听骇客指令，从而达到被远程控制的目的。该后门具有远程监视、控制等功能，可以监视用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可以窃取、修改或删除用户计算机中存放的文件，从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“友好客户”变种aips的系统会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击和洪水攻击等，从而对互联网安全构成更加严重的破坏。另外，“友好客户”变种aips会通过修改系统已存在服务的方式实现开机自启。 Backdoor/PcClient.aips“友好客户”变种aips是“友好客户”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“友好客户”变种aips运行后，会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”和“%programfiles%\Common Files\Microsoft Shared\”文件夹下释放恶意DLL组件“illbml.dll”，然后调用rundll32.exe运行。其还会将自身复制到“%programfiles%\Common Files\Microsoft Shared\”目录下并重新命名为“illbml.exe”。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点