免费杀毒软件排行榜

主页 > 杀毒资讯 > 正文

危鬼和K波变种病毒

软件2020-09-16 10:53 杀毒资讯

江民今日提醒您注意:在今天的病毒中Trojan/Vilsel.dz危鬼变种dz和Backdoor/KBot.moK波变种mo值得关注。

英文名称:Trojan/Vilsel.dz
中文名称:危鬼变种dz
病毒长度:30808字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:71257cf6f96c4c57481e929612ff2a47
特征描述:
Trojan/Vilsel.dz危鬼变种dz是危鬼家族中的最新成员之一,采用Microsoft Visual C++ 6.0编写,经过加壳保护处理。危鬼变种dz运行后,会自我复制到被感染系统的%SystemRoot%\system32\目录下,重新命名为scvhost.exe。在该目录下释放恶意DLL组件*.dll,文件名随机。另外还会在%SystemRoot%\、%SystemRoot%\system32\drivers\目录下分别释放恶意程序,并复制系统文件wininet.dll到临时文件夹下以供调用。利用其释放的恶意驱动程序,危鬼变种dz可以穿透一些系统还原程序的保护,并用恶意文件覆盖explorer.exe。其会用正常的explorer.exe替换%SystemRoot%\system32\drivers\gm.dls,之后将其复制到%SystemRoot%\TEMP\explorer.exe,通过对该文件进行调用,使得用户开机时能够正常显示桌面,以此蒙蔽了用户。其会监视并关闭可能弹出的Windows文件保护窗口,从而使其在替换系统文件时不被用户所发现。危鬼变种dz运行时,会关闭并禁用系统防火墙、Windows安全中心服务。关闭安全软件的自我保护功能,终止大量的安全软件、系统工具、应用程序的进程,同时还会通过关闭相关的服务、删除关键文件、利用注册表映像劫持等方式,干扰这些杀毒软件的正常运行,致使用户的计算机失去保护。在被感染系统的后台连接经过多次解密后得到的URLhttp://ll800.kmi*.net/88.txt,读取该文件中存放的下载地址,然后下载恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马、广告程序等,致使用户面临更多的威胁。另外,其还会向骇客指定的页面http://liuliang.qvodcnz*.com/tj/v7/count.asp反馈被感染计算机的基本信息。危鬼变种dz会在被感染系统注册表启动项中添加键值360safe,以此实现开机自动运行。

英文名称:Backdoor/KBot.mo
中文名称:K波变种mo
病毒长度:25600字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:1a4552499beaa0b561f4884af892d583
特征描述:
Backdoor/KBot.moK波变种mo是K波家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。K波变种mo运行后,会自我复制到被感染系统的%SystemRoot%\system32\文件夹下,重新命名为mssrv32.exe。创建svchost.exe进程,将恶意代码注入其中隐秘运行,同时隐藏该进程,致使用户无法通过Windows任务管理器发现。K波变种mo可能会监听用户的网络通信,窃取敏感信息并发送到骇客指定的服务器上。同时,其还会向http://atatat*.org/black/stat.php反馈用户的感染情况。另外,K波变种mo会在被感染计算机中注册名为msupdate的系统服务,以此实现后门的开机自启。

标签列表
热门文章
搜索