摘要：“伪程序”变种chl和“系统杀手”变种bre值得关注,杀毒软件,kv2009,江民,在线查毒,在线杀毒,网银大盗,数据修复,防火墙,病毒防火墙,AntiVirus,Anti-Virus,Anti-Trojan,Remover,反病毒...

第1页:病毒播报：“伪程序”变种chl和“系统杀手”变种 第2页:病毒播报：“伪程序”变种chl和“系统杀手”变种

　　在今天的病毒中Trojan/Antavmu.chl“伪程序”变种chl和Trojan/AntiAV.bre“系统杀手”变种bre值得关注。
　　
　　英文名称：Trojan/Antavmu.chl
　　
　　中文名称：“伪程序”变种chl
　　
　　病毒长度：16384字节
　　
　　病毒类型：木马
　　
　　危险级别：★★
　　
　　影响平台：Win9X/ME/NT/2000/XP/2003
　　
　　MD5校验：83e100b00a802a133b23cb8403e6033b
　　
　　特征描述：
　　
　　Trojan/Antavmu.chl“伪程序”变种chl是“伪程序”家族中的最新成员之一，采用“MicrosoftVisualBasic5.0/6.0”编写，经过加壳保护处理。“伪程序”变种chl运行后，会执行命令“cacls.exe%SystemRoot%\system32\cmd.exe/e/t/geveryone:F”来赋予所有用户对cmd.exe的控制权限。将被感染系统“%programfiles%\360safe\safemon\safemon.dll”重命名为“safemes.dll”，将“%programfiles%\Rising\AntiSpyware\ieprot.dll”重命名为“iepret.dll”。删除“%SystemRoot%\system32\”文件夹下的旧版本病毒文件“ttjj33.ini”、“SoundMan.exe”、“zozzo.exe”、“vpcma.exe”、“soliee.exe”、“inertno.exe”、“xox.exe”、“zozo.exe”、“sosos.exe”、“solin.exe”、“inertne.exe”、“notepde.exe”。强行关闭服务“wscsvc”、“sharedaccess”、“KPfwSvc”、“KWatchsvc”、“McShield”、“NortonAntiVirusServer”。创建进程快照，如果发现名为“shstat.exe”、“runiep.exe”、“ras.exe”、“MPG4C32.exe”、“imsins.exe”、“Iparmor.exe”、“360safe.exe”、“360tray.exe”、“kmailmon.exe”、“kavstart.exe”、“avp.exe”、“SonndMan.exe”、“Vmware.exe”、“exename”、“vpcma.exe”、“cmd.exe”、“cacls.exe”、“notepde.exe”的进程，“伪程序”变种chl则会试图强行将其结束。在被感染系统的“%SystemRoot%\”文件夹下释放恶意程序“BarClientServer.exe”，在“%SystemRoot%\system32\”文件夹下释放“inertno.exe”。在“%SystemRoot%\system32\”文件夹下释放配置文件“ttjj34.ini”。在被感染系统中新建名为“new1”、密码为“12369”的用户，为骇客留下后门，致使被感染系统可被不法分子远程登录、控制，进而沦为攻击跳板或肉鸡。“伪程序”变种chl在运行完毕后，会通过创建批处理文件并在后台调用执行的方式来删除自我。另外，其会修改系统服务“helpsvc”，以此实现自动运行。