06月19日病毒播报：“调戏鬼”变种j和“橘色诱惑”变种

发布时间：2011-06-21 14:27:26作者：知识屋

在今天的病毒中Backdoor/Yoddos.j“调戏鬼”变种j和Trojan/Chifrax.fdk“橘色诱惑”变种fdk值得关注。
江民今日提醒您注意：在今天的病毒中Backdoor/Yoddos.j“调戏鬼”变种j和Trojan/Chifrax.fdk“橘色诱惑”变种fdk值得关注。

英文名称：Backdoor/Yoddos.j
中文名称：“调戏鬼”变种j
病毒长度：40416字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6f3579d58c5d7755e7fb2d782eb4f741
特征描述：
Backdoor/Yoddos.j“调戏鬼”变种j是“调戏鬼”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“调戏鬼”变种j运行后，会设置自身进程的报错模式（SetErrorMode），从而防止自身出错时系统弹出提示信息。尝试获得并卸载名为“kmon.dll”的模块，其为瑞星卡卡的功能模块。获得系统及自身路径，比较是否为“%SystemRoot%system32WinHelp32.exe”和“%SystemRoot%system32svchost.exe”，若不是以上路径，“调戏鬼”变种j会自我复制到被感染系统的“%SystemRoot%system32”文件夹下，重新命名为“WinHelp32.exe”。还会在“%SystemRoot%system32drivers”文件夹下释放恶意驱动文件“PCIDump.sys”，文件属性设置为“系统、隐藏”。将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与客户端“ttk*607.3322.org”进行连接，如果连接成功，被感染的计算机就会沦为傀儡主机。骇客可向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行，甚至屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。其还会在被感染系统的后台连接骇客指定的站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“调戏鬼”变种j在运行完成后会将自身删除，从而达到消除痕迹的目的。另外，“调戏鬼”变种j会在被感染系统中注册名为“WinHelp32”的系统服务，以此实现自动运行。

英文名称：Trojan/Chifrax.fdk
中文名称：“橘色诱惑”变种fdk
病毒长度：84786字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：6a472aa23e0339db33130e77504580f5
特征描述：
Trojan/Chifrax.fdk“橘色诱惑”变种fdk是“橘色诱惑”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“橘色诱惑”变种fdk运行后，会在“%USERPROFILE%Local SettingsTemp”文件夹下释放恶意文件“_tmp_rar_sfx_access_check_90906”然后执行。“_tmp_rar_sfx_access_check_90906”运行后会在“%SystemRoot%Temp”文件夹下释放恶意文件“C0NIME.COM”并执行，然后会在“%SystemRoot%Temp”文件夹下释放恶意文件“C0NIME1.COM”，在“%SystemRoot%Help”文件夹下释放恶意文件“winhelp.exe”，在“%SystemRoot%”文件夹下释放“SVCH0ST.COM”。秘密连接骇客指定的站点“xz*xx.3322.org”，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“橘色诱惑”变种fdk完全远程控制被感染的计算机系统，从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。另外，“橘色诱惑”变种fdk会在被感染系统注册表启动项中添加键值、创建名为“winhelp”的系统服务，以此实现自动运行。

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）