在今天的病毒里,需要谨慎防范“VBS傀儡”变种yy和“通犯”变种zi。
英文名称:Trojan/VBS.yy
中文名称:“VBS傀儡”变种yy
病毒长度:43012字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:04923f415ab2998faf737093915816e2
特征描述:
Trojan/VBS.yy“VBS傀儡”变种yy是“VBS傀儡”家族中的最新成员之一,采用“VBS”脚本语言编写。“VBS傀儡”变种yy运行后,会篡改IE浏览器的首页为骇客指定站点“www.h*l23.cc”,以此为其增加访问量。在当前系统用户的桌面上查找“Internet Explorer.lnk”、“360安全浏览器.lnk”、“傲游浏览器2.lnk”、“搜狗高速浏览器.lnk”,如果找到会将其删除。遍历“%USERPROFILE%\桌面\”、“%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”、“%USERPROFILE%\「开始」菜单\程序\”、“%USERPROFILE%\「开始」菜单\”、“%ALLUSERSPROFILE%\「开始」菜单\”、“%ALLUSERSPROFILE%\「开始」菜单\程序\”、“%ALLUSERSPROFILE%\桌面\”,查找是否存在指定的浏览器。之后会在“%ALLUSERSPROFILE%\「开始」菜单\”、“%ALLUSERSPROFILE%\「开始」菜单\程序\”、“%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\”、“%USERPROFILE%\「开始」菜单\”文件夹下创建假冒IE快捷方式“Internet Explorer.ttf”以及“淘宝网购物.dib”、“淘宝打折.dib”、“淘宝热卖.dib”、“网址大全.wiz”、“傲游浏览器2.Max”、“360安全浏览器.se”、“Mozilla Firefox.fox”、“搜狗高速浏览器.sou”等假冒的快捷方式。通过这些快捷方式启动的浏览器会自动访问“hxxp://www.59*88.com/?my”、“hxxp://www.9*8.la”等站点,从而给骇客带来了非法的经济利益。另外,“VBS傀儡”变种yy会隐藏这些快捷方式的扩展名,以此增强迷惑性。其还会通过设置访问权限的方式阻止系统用户删除这些快捷方式。
英文名称:TrojanDownloader.Generic.zi
中文名称:“通犯”变种zi
病毒长度:16384字节
病毒类型:木马下载器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003/VISTA
MD5 校验:9b6f64e7e8bd1ed4bb90fb7e614b08f5
特征描述:
TrojanDownloader.Generic.zi“通犯”变种zi是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“通犯”变种zi运行后,会自我复制到被感染系统的“%programfiles%\Windows Media Player\”文件夹下,重新命名为“Media.exe”。“通犯”变种zi运行后,会将释放的恶意文件插入到系统桌面程序“explorer.exe”进程中加载运行,同时在后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。“通犯”变种zi运行时,会在被感染系统的后台连接骇客指定的远程站点“hxxp://www.ge*lete.cn:89/”,下载配置文件“so.txt”至“%programfiles%\Internet Explorer\”文件夹下,重新命名为“Temp.txt”,然后会根据其中的设置下载恶意程序“ma0.exe”、“ma4.exe”等并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“通犯”变种zi会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。