06月08日病毒播报：“调戏鬼”变种k和“克隆先生”变种

发布时间：2011-06-21 14:33:09作者：知识屋

在今天的病毒中Backdoor/Yoddos.k“调戏鬼”变种k和Packed.Klone.gaq“克隆先生”变种gaq值得关注。
英文名称：Backdoor/Yoddos.k
中文名称：“调戏鬼”变种k
病毒长度：40416字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：4f6ee2c09deb0aa61e6ebab54205f6a9
特征描述：
Backdoor/Yoddos.k“调戏鬼”变种k是“调戏鬼”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“调戏鬼”变种k运行后，会设置自身进程的报错模式（SetErrorMode），从而防止自身出错时系统弹出提示信息。尝试查找并卸载指定模块“kmon.dll”，该模块为瑞星卡卡的功能组件。获得系统及自身路径，比较是否为“%SystemRoot%system32dffdf2.exe”和“%SystemRoot%system32svchost.exe”，若不是以上路径，“调戏鬼”变种k会自我复制到被感染系统的“%SystemRoot%system32”文件夹下，重新命名为“dffdf2.exe”。还会在“%SystemRoot%system32drivers”文件夹下释放恶意驱动文件“PCIDump.sys”，文件属性设置为“系统、隐藏”。将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与客户端“zh*12.3322.org”进行连接，如果连接成功，被感染的计算机就会沦为傀儡主机。骇客可向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行，甚至屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。其还会在被感染系统的后台连接骇客指定的站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“调戏鬼”变种k在运行完成后会将自身删除，从而达到消除痕迹的目的。另外，“调戏鬼”变种k会在被感染系统中注册名为“dffdf2”的系统服务，以此实现自动运行。

英文名称：Packed.Klone.gaq
中文名称：“克隆先生”变种gaq
病毒长度：84480字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：27be3544fca0e8f3acbf33847bdfde5d
特征描述：
Packed.Klone.gaq“克隆先生”变种gaq是“克隆先生”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理，是一个由其它恶意程序释放的DLL功能组件。“克隆先生”变种gaq运行后，会将自身插入到系统桌面程序“explorer.exe”进程中隐秘运行。后台执行相应的恶意操作，以此隐藏自我，防止被轻易地查杀。遍历当前系统运行的所有进程，一旦发现某些安全软件的进程(瑞星、卡巴斯基、赛门铁克、麦咖啡等)存在，便会尝试将其结束，致使被感染系统失去安全软件的防护。“克隆先生”变种gaq是一个专门盗取网络游戏会员账号的木马程序，其会在被感染系统的后台秘密监视系统所运行程序的窗口标题，一旦发现指定程序启动，便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。“克隆先生”变种gaq属于某恶意程序集合中的部分功能组件，如果感染此病毒，则说明系统中还感染了其它的恶意程序。