江民今日提醒您注意：在今天的病毒中Worm/AutoRun.lrl“U盤寄生蟲”變種lrl和Backdoor/Emogen.ew“惡魔棍”變種ew值得關(guān)注。

英文名稱：Worm/AutoRun.lrl

中文名稱：“U盤寄生蟲”變種lrl

病毒長度：24064字節(jié)

病毒類型：蠕蟲

危險(xiǎn)級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗(yàn)：901a96bdda1a858ac92e0a04e46ea197

特征描述：

Worm/AutoRun.lrl“U盤寄生蟲”變種lrl是“U盤寄生蟲”家族中的***成員之一，采用“Microsoft Visual C++ 6.0”寫，并且經(jīng)過加殼保護(hù)處理?！癠盤寄生蟲”變種lrl運(yùn)行后，會在“%SystemRoot%\system32\”文件夾下釋放經(jīng)過殼保護(hù)的惡意DLL組件“*.dll”（文件名從netsvcs服務(wù)組中依次獲取，一般從“6to4”開始），另外還會在臨時(shí)文件下釋放惡意驅(qū)動程序“SvcMain.sys”，用以結(jié)束各類安全軟件的自我保護(hù)。利用注冊表映像文件劫持，干擾各類安全軟件的正常啟動運(yùn)行，從而降低了被感染系統(tǒng)的安全性。

“U盤寄生蟲”變種lrl釋放的DLL文件在運(yùn)行后，會連接駭客指定的URL“http://www.dy20*4.com/msn/mm.txt”，從而進(jìn)行下載其它惡意程序以及在被感染計(jì)算機(jī)上訪問指定掛馬頁面的行為，給用戶造成了更大的損失。“U盤寄生蟲”變種lrl可通過移動存儲設(shè)備及網(wǎng)上鄰居進(jìn)行傳播。其會自我復(fù)制為“[盤符];\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe”，并生成“autorun.inf”文件，從而利用系統(tǒng)的自動播放功能激活自我。

嘗試連接存在弱口令的局域網(wǎng)內(nèi)電腦，一旦連接成功，便會將自身復(fù)制到其“C:\”根目錄下，重新命名為“bootfont.exe”，并利用計(jì)劃任務(wù)功能將其激活?！癠盤寄生蟲”變種lrl還會對部分?jǐn)U展名為“.exe”、“.asp”、“.htm”、“.html”、“.aspx”及“.RAR”的文件進(jìn)行感染，從而給用戶造成更多的隱患。另外，“U盤寄生蟲”變種lrl會在被感染計(jì)算機(jī)中注冊系統(tǒng)服務(wù)，以此實(shí)現(xiàn)其開機(jī)自動運(yùn)行。

英文名稱：Backdoor/Emogen.ew

中文名稱：“惡魔棍”變種ew

病毒長度：369899字節(jié)

病毒類型：后門

危險(xiǎn)級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗(yàn)：35a156f5f6265ef112f6ca28e6c923af

特征描述：

Backdoor/Emogen.ew“惡魔棍”變種ew是“惡魔棍”后門家族中的***成員之一，采用高級語言編寫，并且經(jīng)過加殼保護(hù)處理?！皭耗Ч鳌弊兎New運(yùn)行后，會在被感染系統(tǒng)的“%SystemRoot%\system32\”文件夾下釋放經(jīng)過加殼保護(hù)的惡意DLL組件“user2.dll”，同時(shí)修改文件的時(shí)間屬性，以此迷惑用戶。同時(shí)會將原病毒文件刪除，以此消除痕跡?！皭耗Ч鳌弊兎New釋放的DLL文件在運(yùn)行后，會不斷嘗試與控制端（地址為：niaoniaokk.33*.org:1987）進(jìn)行連接。一旦連接成功，則被感染的計(jì)算機(jī)便會淪為傀儡主機(jī)，從而接受駭客的任何控制、操作，嚴(yán)重地侵害了用戶的個人隱私。同時(shí)，駭客還可以向傀儡主機(jī)上傳大量的惡意程序，從而構(gòu)成更加嚴(yán)重的威脅。另外，“惡魔棍”變種ew會修改系統(tǒng)服務(wù)“BITS”（后臺智能傳輸服務(wù)）所調(diào)用的文件指向，從而實(shí)現(xiàn)了開機(jī)自啟。

【編輯推薦】

1. 病毒日報(bào)- 51CTO.COM
2. 病毒周報(bào)- 51CTO.COM