病毒预警:“挂马控制器”传播远程控制程序
来自:MACD论坛(bbs.macd.cn)
作者:淡淡体味
浏览:2588
回复:2
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
“挂马控制器90112”(Worm.VB.90112),这是一个利用网页挂马传播的远程控制程序。它进入系统后就会开启后门,帮助黑客控制用户的电脑。
“AUTO蠕虫175104”(Worm.AutoRun.pv.175104),这是个具有伪装能力的蠕虫病毒。它会替换系统的桌面进程explorer.exe,以便更好的隐藏和运行自己。
一、“挂马控制器90112”(Worm.VB.90112)威胁级别:★
这个下载器的功能比较简单,除执行木马下载外,没有别的行为。不过,由于下载量较大,对系统还是具有一定的威胁。
它自带有一份地址列表dlgexept.txt,在进入系统后,将其释放到%WINDOWS%目录下。然后就连接病毒作者指定的地址ks***ng.dns2go.com,获取该文件的最新更新。如获取成功,就按照最新的列表去下载其它木马程序。而如果更新不成功,就暂时先按已有的地址进行下载。
该毒在运行过程中,会释放出一些dll文件和exe文件,但由于路径和名称随机,普通用户很难进行手工检查,但毒霸可以正常进行查杀。
二、“AUTO蠕虫175104”(Worm.AutoRun.pv.175104)威胁级别:★
该毒在进入用户系统后,就删除系统桌面进程explorer.exe,并在原路径中释放出一个自己的一个同名文件。该文件是感染了病毒的explorer.exe,这样的话,用户系统依然能够正常启动,但病毒也可以随着运行起来。
同时,该毒生成一个sample.exe.de.bat文件,用它来删除自己的原始文件sample.exe。然后,就调用系统的CMD.EXE命令运行自己的破坏模块。
根据病毒作者的配置,破坏模块可能执行任何一种行为,也许是盗号,也许是远程控制。 |