中文名稱:"菲卡"變種p
病毒長(zhǎng)度:206336字節(jié)
病毒類型:間諜木馬
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):ca430b39ce6fd3840dff461cfac0a9d7

特征描述:
TrojanSpy.Filka.p"菲卡"變種p是"菲卡"家族中的最新成員之一,采用"Microsoft Visual C++ 6.0"編寫,經(jīng)過加殼保護(hù)處理。"菲卡"變種p運(yùn)行后,會(huì)在被感染系統(tǒng)的"%SystemRoot%system32"文件夾下釋放惡意DLL文件"try*.dll"和"kkkyfile.dll"。遍歷當(dāng)前系統(tǒng)中所有正在運(yùn)行的進(jìn)程,如果發(fā)現(xiàn)某些與安全或系統(tǒng)診斷相關(guān)的進(jìn)程存在,就會(huì)自動(dòng)退出,從而避免被檢測(cè)到。其還會(huì)利用映像文件劫持功能干擾安全軟件的正常運(yùn)行,降低了被感染系統(tǒng)的安全性。"菲卡"變種p運(yùn)行時(shí),會(huì)在"%SystemRoot%system32"文件夾下生成配置文件"web.ini",并根據(jù)其中的設(shè)置在被感染系統(tǒng)中以自動(dòng)定時(shí)彈出或者點(diǎn)擊鏈接時(shí)彈出等方式,打開程序指定的廣告網(wǎng)頁或廣告條等(這些惡意廣告網(wǎng)頁中可能包含網(wǎng)頁木馬,會(huì)給存在漏洞的計(jì)算機(jī)系統(tǒng)造成不同程度的安全隱患)。同時(shí),其還會(huì)將IE首頁鎖定為一個(gè)指定的導(dǎo)航頁面"http://www.hao1258*.com/XueHu"。通過提高這些惡意網(wǎng)站的訪問量(網(wǎng)絡(luò)排名),駭客謀取到了非法的利益。"菲卡"變種p還具有自動(dòng)更新功能,其會(huì)連接駭客指定的遠(yuǎn)程服務(wù)器"http://www.f*edit.cn/"下載更新文件,以此實(shí)現(xiàn)更換需要推廣的網(wǎng)址和躲避查殺等。另外,"菲卡"變種p釋放的DLL文件會(huì)將自身注冊(cè)為BHO(瀏覽器輔助對(duì)象),以此實(shí)現(xiàn)其隨IE瀏覽器的啟動(dòng)而加載運(yùn)行。

英文名稱:Trojan/Vilsel.bbv
中文名稱:"危鬼"變種bbv
病毒長(zhǎng)度:12767字節(jié)
病毒類型:木馬
危險(xiǎn)級(jí)別:★★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):00cd42157d140dd68e9aa1b0bd074eda

特征描述:
Trojan/Vilsel.bbv"危鬼"變種bbv是"危鬼"家族中的最新成員之一,經(jīng)過加殼保護(hù)處理。"危鬼"變種bbv運(yùn)行后,會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下,重新命名為"kb*.dll"。同時(shí)會(huì)生成文件"wsconfig.db"保存該DLL文件名。在"%SystemRoot%system32drivers"文件夾下釋放記錄收信地址的配置文件"kipikwcd.dat",另外還會(huì)篡改系統(tǒng)文件"imm32.dll",從而通過對(duì)被感染的"imm32.dll"的調(diào)用實(shí)現(xiàn)自動(dòng)運(yùn)行。安裝完成后,原病毒會(huì)將自我刪除,以此消除痕跡。"危鬼"變種bbv是一個(gè)專門盜取"問道"和"完美國(guó)際"等網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序,其會(huì)插入游戲進(jìn)程"asktao.mod"和"elementclient.exe"中,并通過一些內(nèi)存操作截獲游戲賬號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)等信息,并在后臺(tái)將竊得的信息發(fā)送到駭客指定的收信頁面"http://202.yx2009123*.cn:55414/202/xj283x@c!d$h/!$f7i@.asp"等上,甚至還會(huì)通過屏幕截圖的方式獲取用戶輸入的密碼等信息,致使網(wǎng)絡(luò)游戲玩家的虛擬財(cái)產(chǎn)遭到不同程度的侵害。

分享到

kuangmin

相關(guān)推薦