谨防“倒霉球”和“代理木马”病毒侵害
正睿科技 发布时间:2009-01-14 08:58:35 浏览数:1643
今日提醒您注意:在今天的病毒中Trojan/Krotten.ao“倒霉球”变种ao和Trojan/Agent.bruf“代理木马”变种bruf值得关注。
英文名称:Trojan/Krotten.ao
中文名称:“倒霉球”变种ao
病毒长度:400852字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Krotten.ao“倒霉球”变种ao是“倒霉球”木马家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,并且经过加壳保护处理。“倒霉球”变种ao运行后,会自我复制到被感染计算机系统的“C:Program FilesWindows Media Player”和“%SystemRoot%system32”目录下,分别重新命名为“wmpnetwk.exe”和“windowsupdata.log”。“wmpnetwk.exe”运行后,会自我复制到“%SystemRoot%system32”目录下并重新命名为“nvuninst.exe”,同时还会释放“nvsrc.exe”、“update.exe”到相同目录和“C:Program FilesWindows Media Player”目录中。“update.exe”运行后,会自我复制到相同目录中并重新命名保存。“倒霉球”变种ao所释放的木马“nvsrc.exe”运行后,会在被感染计算机系统的后台监视移动存储设备的接入,当发现有新的移动设备接入时,便会将“倒霉球”变种ao复制到其中并且创建自动运行配置文件“Autorun.inf”,以此实现双击盘符后激活木马,从而达到了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的,给被感染计算机用户造成了更多威胁。“倒霉球”变种ao所释放的木马“update.exe”是一个功能强大的远程控制类木马服务器端,运行后会将代码注入“svchost.exe”进程中隐蔽运行,防止被轻易地发现和查杀。尝试与客户端进行连接,如果连接成功,则被感染计算机就会沦为骇客的傀儡主机。骇客通过该木马可以向被感染计算机发送任意指令、执行恶意操作,其中包括文件管理、进程控制、注册表操作、远程命令执行,甚至是屏幕监控、键盘监听、鼠标控制、音视频监控(包括对摄像头控制)等,给被感染计算机用户的个人隐私、商业机密造成不同程度的威胁。骇客通过该木马还可以向傀儡主机发送大量的恶意程序,从而使得被感染计算机用户遭受更多的侵害。另外,“倒霉球”变种ao会通过注册系统服务的方式来实现开机后木马的自启动。同时,还会通过在“启动”文件夹中添加快捷方式的方式来实现开机自启。
英文名称:Trojan/Krotten.ao
中文名称:“倒霉球”变种ao
病毒长度:400852字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Krotten.ao“倒霉球”变种ao是“倒霉球”木马家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,并且经过加壳保护处理。“倒霉球”变种ao运行后,会自我复制到被感染计算机系统的“C:Program FilesWindows Media Player”和“%SystemRoot%system32”目录下,分别重新命名为“wmpnetwk.exe”和“windowsupdata.log”。“wmpnetwk.exe”运行后,会自我复制到“%SystemRoot%system32”目录下并重新命名为“nvuninst.exe”,同时还会释放“nvsrc.exe”、“update.exe”到相同目录和“C:Program FilesWindows Media Player”目录中。“update.exe”运行后,会自我复制到相同目录中并重新命名保存。“倒霉球”变种ao所释放的木马“nvsrc.exe”运行后,会在被感染计算机系统的后台监视移动存储设备的接入,当发现有新的移动设备接入时,便会将“倒霉球”变种ao复制到其中并且创建自动运行配置文件“Autorun.inf”,以此实现双击盘符后激活木马,从而达到了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的,给被感染计算机用户造成了更多威胁。“倒霉球”变种ao所释放的木马“update.exe”是一个功能强大的远程控制类木马服务器端,运行后会将代码注入“svchost.exe”进程中隐蔽运行,防止被轻易地发现和查杀。尝试与客户端进行连接,如果连接成功,则被感染计算机就会沦为骇客的傀儡主机。骇客通过该木马可以向被感染计算机发送任意指令、执行恶意操作,其中包括文件管理、进程控制、注册表操作、远程命令执行,甚至是屏幕监控、键盘监听、鼠标控制、音视频监控(包括对摄像头控制)等,给被感染计算机用户的个人隐私、商业机密造成不同程度的威胁。骇客通过该木马还可以向傀儡主机发送大量的恶意程序,从而使得被感染计算机用户遭受更多的侵害。另外,“倒霉球”变种ao会通过注册系统服务的方式来实现开机后木马的自启动。同时,还会通过在“启动”文件夹中添加快捷方式的方式来实现开机自启。