摘要:“调戏鬼”变种l和“系统杀手”变种bog值得关注,杀毒软件,kv2009,江民,在线查毒,在线杀毒,网银大盗,数据修复,防火墙,病毒防火墙,AntiVirus,Anti-Virus,Anti-Trojan,Remover,反病毒... |
英文名称:Backdoor/Yoddos.l
中文名称:“调戏鬼”变种l
病毒长度:40416字节
病毒类型:后门
危险级别:★
影响平台:Win9X/ME/NT/2000/XP/2003
MD5校验:e4ee5f5e830b52f5c5bda63e2ba4cc8d
特征描述:
Backdoor/Yoddos.l“调戏鬼”变种l是“调戏鬼”家族中的最新成员之一,采用“MicrosoftVisualC++6.0”编写,经过加壳保护处理。“调戏鬼”变种l会将自身伪装成“QQ影音在线升级程序”,从而诱骗用户点击运行。“调戏鬼”变种l运行后,会设置自身进程的报错模式(SetErrorMode),从而防止自身出错时系统弹出提示信息。尝试获得并卸载名为“kmon.dll”的模块,其为瑞星卡卡的功能模块。获得系统及自身路径,比较是否为“%SystemRoot%\system32\Webstater.exe”和“%SystemRoot%\system32\svchost.exe”,若不是以上路径,“调戏鬼”变种l会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“Webstater.exe”。还会在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动文件“PCIDump.sys”,文件属性设置为“系统、隐藏”。将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与客户端“zk*ot.vicp.net”进行连接,如果连接成功,被感染的计算机就会沦为傀儡主机。骇客可向被感染的计算机发送恶意指令,从而执行任意控制操作(其中包括:文件管理、进程控制、注册表操作、服务管理、远程命令执行,甚至屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等),会给用户的信息安全构成严重的威胁。其还会在被感染系统的后台连接骇客指定的站点,下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“调戏鬼”变种l在运行完成后会将自身删除,从而达到消除痕迹的目的。另外,“调戏鬼”变种l会在被感染系统中注册名为“WindowsWebstater”的系统服务,以此实现自动运行。