4.20播报:克隆先生和Skype大盗病毒
PC捍卫者据江民安全资讯今日(4月20日)提醒您注意:在今天的病毒中Packed.Klone.yy“克隆先生”变种yy和Trojan/PSW.Skyper.a“Skype大盗”变种a值得关注。
英文名称:Packed.Klone.yy
中文名称:“克隆先生”变种yy
病毒长度:687104字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:001f48dbd4adb3bacf0f61982c1d5eb1
特征描述:
“克隆先生”变种yy运行后,会在被感染计算机系统的“%SystemRoot%\”目录下释放经过加壳保护的恶意程序“系统”(无扩展名),并设置文件属性为“系统、隐藏、只读”。“克隆先生”变种yy运行时,会将恶意代码注入到新创建的“iexplorer.exe”进程中隐密运行,不断尝试与控制端(地址为:202.106.*.39:8000)进行连接,一旦连接成功,则被感染的计算机便会沦为骇客的傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作,其中包括:文件管理、进程控制、注册表操作、远程命令执行,屏幕监控、键盘监听、鼠标控制、视频监控等,会给用户的个人隐私甚至是商业机密造成不同程度的损失。同时,骇客还可以向傀儡主机发送大量的恶意程序,从而对用户构成了更加严重的侵害。另外,“克隆先生”变种yy会在被感染计算机中注册名为“系统.com.cn”的系统服务(服务描述为“文件监控管理.”),以此实现木马的开机自启。Packed.Klone.yy“克隆先生”变种yy是“克隆先生”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。
英文名称:Trojan/PSW.Skyper.a
中文名称:“Skype大盗”变种a
病毒长度:454656字节
病毒类型:盗号木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:1300e5c63aa1e32c7b277b5ad9fff60a
特征描述:
“Skype大盗”变种a运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“wmpnetw.sys”。同时,还会在相同目录中释放恶意DLL组件“MSWINSCK.OCX”。“Skype大盗”变种a图标伪装成“Skype”程序图标,以此来诱骗用户点击运行。该木马运行后,会打开一个高度仿真的“Skype”登陆窗口,如果用户在这个仿冒的登陆窗口中输入账号和密码并点击“登录”按钮,则用户的账号信息便会被发送至骇客指定的远程服务器站点上,从而给用户造成了不同程度的损失。在窃取行为完成后,该木马还会显示“文件丢失,请重新下载安装”的虚假信息,以此更深程度的蒙蔽了用户。另外,“Skype大盗”变种a会通过修改注册表键“ShellExecuteHooks”的方式实现开机自动运行。Trojan/PSW.Skyper.a“Skype大盗”变种a是“Skype大盗”木马家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理,是一个专门盗取“skype”网络电话账号的木马程序。
转截请注明:文章来自 pc捍卫者 http://www.pchwz.com
本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点