维维软件下载资讯,据江民10月31日消息:在今天的病毒中Worm/Abuse.a“歪风”变种a和Trojan/Sasfis.a“萨斯风”变种a值得关注。
英文名称:Worm/Abuse.a
中文名称:“歪风”变种a
病毒长度:95232字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:c7b4f8df483124bddedea4af6bd1a590
特征描述:
Worm / Abuse.a“Hurricane”变种a是“飓风”蠕虫家族的最新成员之一,用“Borland Delphi 6.0 - 7.0”编写。运行“Hurricane”变体后,它会将自身复制到受感染系统的“C:\ Program Files \ Common Files \”目录,将其重命名为“SysAnti.exe”,并将文件属性设置为“System,隐”。在“%SystemRoot%\ fonts \”目录中释放恶意DLL组件“* .DLL”(随机5个字母的文件名),也在“%SystemRoot%\ fonts \”和“%USERPROFILE%\ Local Settings \”恶意中驱动程序“* .fon”(随机5个字母的文件名)和“Temp~ * .tmp”在目录中发布。安装完成后,原始病毒程序将自行删除以消除痕迹。当“飓风” “变种运行,新的”svchost.exe“和”iexplorer.exe“进程被创建并且恶意代码被注入其中以进行隐身。随着恶意驱动程序的发布,它可以关闭指定安全软件的自我保护从而关闭软件的窗口和进程,并使用图像文件劫持功能干扰软件的正常启动。在受感染计算机的后台,系统中的“主机”文件被强行篡改,阻止用户访问某些安全站点,并阻止用户获取病毒通过网络查杀信息。在被感染系统的后台,连接到黑客“http://aa.97aiww*.cn/”指定的远程服务器站点,获取恶意程序下载列表“mm.txt”,然后下载指定的恶意程序程序并自动调用运行。此外,其他恶意程序将从“http://down.*yue.info/down.php?id =”下载,以对用户构成更多威胁。连接到指定网站“http://tj.97aiww*.cn/se/Count.asp”的页面,提供有关受感染系统信息的反馈。在受感染计算机的根目录中创建“autorun.inf”(自动播放配置文件)和主蠕虫程序的副本。将文件属性设置为“system,hidden”,以达到双击驱动器号后激活蠕虫的目的。这给用户带来了更多威胁。此外,“飓风”变体a将在受感染的系统注册表启动项中添加一个键值,以在启动后实现其自动操作。同时,当重新启动受感染的计算机时,它将替换“%SystemRoot%\ system32 \ dllcache \”和“%SystemRoot%”目录中的系统文件“explorer.exe”。
英文名称:Trojan/Sasfis.a
中文名称:“萨斯风”变种a
病毒长度:17920字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:8ee1a3174053bd269d02f7a42fc105f1
特征描述:
Trojan / Sasfis.a“Sas wind”变种a是“Sas wind”木马家族的最新成员之一。在“Sas wind”变种运行之后,它将释放恶意DLL组件“* .tmp”并在受感染计算机系统的临时文件夹下调用运行。该文件将被复制到“%SystemRoot%\ system32 \”文件夹并重命名为“tapi.nfo”。当“Sas wind”变种运行时,它会将恶意代码注入新进程“svchost.exe”以秘密运行。连接到wiki的指定页面“http://zflaer*root.cn/tmp/bb.php”获取配置信息,并根据设置访问指定页面并以一定间隔下载其他恶意程序。 。此外,“Sas wind”变种a将修改注册表以自动实现木马的启动。