江民今日提醒您注意：在今天的病毒中Trojan/Antavmu.nt“偽程序”變種nt和Backdoor/Beastdoor.bc“獸門”變種bc值得關(guān)注。

英文名稱：Trojan/Antavmu.nt

中文名稱：“偽程序”變種nt

病毒長度：68176字節(jié)

病毒類型：木馬

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：e1331c2a8368eaf2822d408d619983a9

特征描述：

Trojan/Antavmu.nt“偽程序”變種nt是“偽程序”木馬家族中的***成員之一，采用“Microsoft Visual C++ 6.0”編寫，并且經(jīng)過加殼保護處理?！皞纬绦颉弊兎Nnt運行后，會創(chuàng)建一個新的自身進程，并將新的惡意程序代碼注入該進程，以此執(zhí)行惡意操作。自我復(fù)制到被感染系統(tǒng)的“%USERPROFILE%\Application Data\S03-7323-GEYNAWT-2623-TGAW\”文件夾下，重新命名為“winlogon.exe”，并將該文件夾設(shè)置為“系統(tǒng)回收站”圖標(biāo)，文件夾及文件都設(shè)置為“系統(tǒng)、隱藏、只讀”屬性，以此隱藏自我。在后臺遍歷當(dāng)前系統(tǒng)中所有正在運行的進程，一旦發(fā)現(xiàn)指定安全軟件的進程便會嘗試將其結(jié)束。同時還會隱藏自身進程，使得用戶無法在“Windows任務(wù)管理器”中看到其進程，從而達(dá)到了自我保護的目的。利用域名劫持阻止用戶訪問大量的安全站點，致使用戶無法通過這些站點獲取病毒查殺方面的信息?！皞纬绦颉弊兎Nnt會將自身命名為一些知名軟件的算號程序，并通過網(wǎng)絡(luò)資源共享軟件進行傳播。另外，其還會通過可移動存儲設(shè)備進行傳播?！皞纬绦颉弊兎Nnt會修改注冊表，致使“顯示系統(tǒng)隱藏文件”的功能失效，同時會向多個注冊表位置添加名為“Windows Login Assistant”的啟動項，以此實現(xiàn)開機自動運行。

英文名稱：Backdoor/Beastdoor.bc

中文名稱：“獸門”變種bc

病毒長度：30357字節(jié)

病毒類型：后門

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：ea9da8b0d553df812d987c4ce9c82229

特征描述：

Backdoor/Beastdoor.bc“獸門”變種bc是“獸門”后門家族中的***成員之一，采用“Borland Delphi 6.0 - 7.0”編寫，經(jīng)過加殼保護處理?！矮F門”變種bc運行后，會自我復(fù)制到被感染系統(tǒng)的“%SystemRoot%\”、“%SystemRoot%\system32\”、“%SystemRoot%\msagent\”文件夾下，分別重新命名為“svchost.exe”、“msunpc.com”、“msqxtq.com”。將以上文件屬性設(shè)置為“系統(tǒng)”，同時修改文件的時間屬性（“創(chuàng)建時間”和“修改時間”），以此迷惑用戶?！矮F門”變種bc運行時，可能會關(guān)閉“Windows系統(tǒng)防火墻”服務(wù)，并創(chuàng)建名為“beasty”的窗口類，從而防止創(chuàng)建重復(fù)的進程。開啟被感染計算機的“6666”端口并監(jiān)聽，從而為駭客大開后門。駭客可以對被感染系統(tǒng)執(zhí)行各種控制，其中包括：文件管理、進程控制、注冊表操作、遠(yuǎn)程命令執(zhí)行、下載其它惡意程序、屏幕監(jiān)控、鼠標(biāo)控制、音頻監(jiān)控、視頻監(jiān)控、鍵盤記錄等，從而對系統(tǒng)用戶構(gòu)成了嚴(yán)重的威脅?！矮F門”變種bc會將擊鍵信息記錄到文件“mslg.blf”中，并發(fā)送到駭客指定的郵箱中，從而致使用戶的私密信息失竊。另外，“獸門”變種bc會通過在被感染系統(tǒng)注冊表啟動項中添加鍵值“COM Service”、在“Installed Components”鍵下添加子鍵的方式實現(xiàn)開機自啟。

【編輯推薦】

1. 病毒日報- 51CTO.COM
2. 病毒周報- 51CTO.COM