| 摘要:“调戏鬼”变种ae和“系统杀手”变种brm值得关注,杀毒软件,kv2009,江民,在线查毒,在线杀毒,网银大盗,数据修复,防火墙,病毒防火墙,AntiVirus,Anti-Virus,Anti-Trojan,Remover,反病毒... |
中文名称:“调戏鬼”变种ae
病毒长度:42496字节
病毒类型:后门
危险级别:★
影响平台:Win9X/ME/NT/2000/XP/2003
MD5校验:c2daf0ae8f5172056e8cc19ce4c6378b
特征描述:
Backdoor/Yoddos.ae“调戏鬼”变种ae是“调戏鬼”家族中的最新成员之一,采用“MicrosoftVisualC++6.0”编写,经过加壳保护处理。“调戏鬼”变种ae会被伪装成“QQ2010”,从而诱骗用户点击运行。“调戏鬼”变种ae运行后,会设置自身进程的报错模式(SetErrorMode),从而防止自身出错时系统弹出提示信息。尝试获得并卸载名为“kmon.dll”的模块,其为瑞星卡卡的功能模块。获得系统及自身路径,比较是否为“%SystemRoot%\system32\WinHelp32.exe”和“%SystemRoot%\system32\svchost.exe”,若不是以上路径,“调戏鬼”变种ae会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“WinHelp32.exe”。还会在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动文件“PCIDump.sys”,文件属性设置为“系统、隐藏”。将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与客户端“56*1095.3322.org”进行连接,如果连接成功,被感染的计算机就会沦为傀儡主机。骇客可向被感染的计算机发送恶意指令,从而执行任意控制操作(其中包括:文件管理、进程控制、注册表操作、服务管理、远程命令执行,甚至屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等),会给用户的信息安全构成严重的威胁。其还会在被感染系统的后台连接骇客指定的站点,下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“调戏鬼”变种ae在运行完成后会将自身删除,从而达到消除痕迹的目的。另外,“调戏鬼”变种ae会在被感染系统中注册名为“WinHelp32”的系统服务,以此实现自动运行。
评论表单加载中...
