江民今日提醒您注意：在今天的病毒中Win32/Dropper.m“病毒釋放器”變種m和Backdoor/Ghost.bmw“幽靈門”變種bmw值得關(guān)注。

英文名稱：Win32/Dropper.m

中文名稱：“病毒釋放器”變種m

病毒長度：108032字節(jié)

病毒類型：Windows病毒

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：5581e5e968ee727a135491349d8c1c93

特征描述：

Win32/Dropper.m“病毒釋放器”變種m是“病毒釋放器”Windows病毒家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫，經(jīng)過加殼保護處理?！安《踞尫牌鳌弊兎Nm運行后，會在被感染系統(tǒng)的臨時文件夾下釋放“bk_*.tmp”并調(diào)用運行?！癰k_*.tmp”運行時，會自我復(fù)制到“%SystemRoot%\system32\”文件夾下，重新命名為“blackice.exe”和“kernel.dll”。設(shè)置文件屬性為“系統(tǒng)、只讀、隱藏”，同時修改文件的時間屬性，增強了自身的隱蔽性。該惡意程序會將其它的應(yīng)用程序感染為“病毒釋放器”變種m?！安《踞尫牌鳌弊兎Nm會將惡意代碼注入系統(tǒng)中已存在的“explorer.exe”或“taskmgr.exe”中，以此實現(xiàn)隱密地運行。在被感染計算機的后臺遍歷當前系統(tǒng)中所有正在運行的進程，一旦發(fā)現(xiàn)指定的安全軟件或系統(tǒng)診斷備份等工具，便會嘗試將其結(jié)束。連接駭客指定的URL，進行下載其它惡意程序等更多惡意操作。

監(jiān)視系統(tǒng)中新插入的可移動存儲設(shè)備，一旦發(fā)現(xiàn)有移動存儲設(shè)備接入時，便會在其根文件夾下創(chuàng)建“autorun.inf”（自動播放配置文件）和病毒主程序文件“blackice.exe”，以此實現(xiàn)了利用U盤、移動硬盤、SD卡等移動存儲設(shè)備進行自我傳播的目的?！安《踞尫牌鳌弊兎Nm會刪除被感染計算機中存儲的“.gho”文件，還會對Word、Excel軟件的模板進行感染，從而導(dǎo)致用戶在使用這些常用辦公軟件時出現(xiàn)許多問題，嚴重地影響了正常的工作和學習。

另外，“病毒釋放器”變種m會通過修改被感染系統(tǒng)注冊表中現(xiàn)有啟動項的方式來實現(xiàn)開機自啟。

英文名稱：Backdoor/Ghost.bmw

中文名稱：“幽靈門”變種bmw

病毒長度：1247980字節(jié)

病毒類型：后門

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：35a86bc7ea801b46cf23f455dfe8a60b

特征描述：

Backdoor/Ghost.bmw“幽靈門”變種bmw是“幽靈門”家族中的最新成員之一，采用高級語言編寫，并且經(jīng)過加殼保護處理?！坝撵`門”變種bmw運行后，會在被感染計算機系統(tǒng)的“%SystemRoot%\system32\”文件夾下釋放經(jīng)過加殼保護的惡意DLL組件“*.dll”（文件名為隨機6個字符）。該惡意dll文件運行后，會不斷嘗試與控制端（地址為：mlbb1987.33*.org:7759）進行連接。一旦連接成功，則被感染的計算機就會淪為傀儡主機。駭客可以向被感染的計算機發(fā)送惡意指令，從而執(zhí)行任意控制操作（控制操作包括但不限于：文件管理、進程控制、注冊表操作、服務(wù)管理、遠程命令執(zhí)行、屏幕監(jiān)控、鍵盤監(jiān)聽、鼠標控制、音頻監(jiān)控、視頻監(jiān)控等），會給用戶的計算機安全造成不同程度的損失。同時，駭客還可以向傀儡主機上傳大量的惡意程序，從而對用戶構(gòu)成更加嚴重的威脅。另外，“幽靈門”變種bmw會在被感染計算機中注冊名為“.Net CLR”的系統(tǒng)服務(wù)，以此實現(xiàn)后門開機自動運行（服務(wù)顯示名稱為“Microsoft .Net Framework COM+ Support”）。

【編輯推薦】

1. “磁碟機”病毒狂襲企業(yè)網(wǎng)絡(luò)
2. 反病毒技術(shù)：從亡羊補牢到免疫防御
3. 金山08中國互聯(lián)網(wǎng)安全報告:病毒木馬爆增云安全勢在必行