06月06日病毒播报：“伪杀鬼”变种pai和“入侵者”变种

发布时间：2011-06-21 14:33:45作者：知识屋

在今天的病毒中Trojan/Fakeav.pai“伪杀鬼”变种pai和Trojan/Invader.cnr“入侵者”变种cnr值得关注。
英文名称：Trojan/Fakeav.pai
中文名称：“伪杀鬼”变种pai
病毒长度：344064字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：8e09445d8277034ef6a1fd5a2041fff2
特征描述：
Trojan/Fakeav.pai“伪杀鬼”变种pai是“伪杀鬼”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“伪杀鬼”变种pai运行后，会在“%USERPROFILE%Local SettingsApplication Data”文件夹下释放恶意文件“yoh.exe”。在“%USERPROFILE%Local SettingsApplication Data”和“%USERPROFILE%Local SettingsTemp”文件夹下释放恶意文件“mcn73o7m817s5r816127x58qwiftbw72s0si71itoxh”。还会查找被感染计算机内正在运行的进程，如果发现“iexplore.exe”、“firefox.exe”，“伪杀鬼”变种pai则会进行更多的恶意操作。“伪杀鬼”变种pai会释放一个名为“XP Internet Security 2011”的假冒杀毒软件并调用运行。“XP Internet Security 2011”运行后，会将正常的系统文件误报为病毒，以此诱骗用户进行付费注册，从而实现诈骗的目的。被感染系统用户不仅无法通过任务管理器来结束该软件，其运行时甚至还会屏蔽其它的安全软件，以此提高自身的生存几率，给被感染系统用户造成了不同程度的威胁和干扰。如果被感染的计算机上已安装并启用了防火墙，则该木马便会利用防火墙的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。其还会查找名为“wscntfy”的系统服务，找到后并试图更改，从而给被感染系统造成了更多的破坏。

英文名称：Trojan/Invader.cnr
中文名称：“入侵者”变种cnr
病毒长度：141312字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：7622b4e8d41cca96cc8b896bdfdf5e74
特征描述：
Trojan/Invader.cnr“入侵者”变种cnr是“入侵者”家族中的最新成员之一，采用高级语言编写。“入侵者”变种cnr运行后，会在“%USERPROFILE%Application DataVuedl”文件夹下释放恶意文件“syiza.exe”，在“%USERPROFILE%Application DataIprufa”文件夹下释放恶意文件“xuasw.puo”。在被感染系统的后台连接骇客指定的站点“http://360safeupdate02.g*p.net/360safe.bin”，获取恶意程序下载列表，下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。该木马的传播途径一般为网页木马，如果用户的计算机系统存在相应的漏洞，则会增加感染该病毒的风险，甚至是多次重复感染。“入侵者”变种cnr属于某恶意程序集合中的部分功能组件，如果感染此病毒，则说明系统中还感染了其它的恶意程序。“入侵者”变种cnr在运行完成后会创建批处理文件“tmpd16b2437.bat”并在后台调用执行，以此将自身删除。另外，“入侵者”变种cnr会在被感染系统注册表启动项中添加键值，以此实现自动运行。