06月28日病毒播报：“调戏鬼”变种y和“系统杀手”变种种bpm值得

发布时间：2011-07-01 10:44:36作者：知识屋

在今天的病毒中Backdoor/Yoddos.y“调戏鬼”变种y和Trojan/AntiAV.bpm“系统杀手”变种bpm值得关注。
英文名称：Backdoor/Yoddos.y
中文名称：“调戏鬼”变种y
病毒长度：33280字节
病毒类型：后门
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：fc123bb966dfbb83963021fae13669d2
特征描述：
Backdoor/Yoddos.y“调戏鬼”变种y是“调戏鬼”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“调戏鬼”变种y运行后，会设置自身进程的报错模式（SetErrorMode），从而防止自身出错时系统弹出提示信息。尝试获得并卸载名为“kmon.dll”的模块，其为瑞星卡卡的功能模块。获得系统及自身路径，比较是否为“%SystemRoot%system32WinrbHelp32.exe”和“%SystemRoot%system32svchost.exe”，若不是以上路径，“调戏鬼”变种y会自我复制到被感染系统的“%SystemRoot%system32”文件夹下，重新命名为“WinrbHelp32.exe”。还会在“%SystemRoot%system32drivers”文件夹下释放恶意驱动文件“PCIDump.sys”，文件属性设置为“系统、隐藏”。将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与客户端“pa*1.3322.org”进行连接，如果连接成功，被感染的计算机就会沦为傀儡主机。骇客可向被感染的计算机发送恶意指令，从而执行任意控制操作（其中包括：文件管理、进程控制、注册表操作、服务管理、远程命令执行，甚至屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等），会给用户的信息安全构成严重的威胁。其还会在被感染系统的后台连接骇客指定的站点，下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临更多的威胁。“调戏鬼”变种y在运行完成后会将自身删除，从而达到消除痕迹的目的。另外，“调戏鬼”变种y会在被感染系统中注册名为“WinrbHelp32”的系统服务，以此实现自动运行。

英文名称：Trojan/AntiAV.bpm
中文名称：“系统杀手”变种bpm
病毒长度：279552字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：950befb7315641f8b01333c439d8bc87
特征描述：
Trojan/AntiAV.bpm“系统杀手”变种bpm是“系统杀手”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“系统杀手”变种bpm运行后，会自我复制到被感染系统的“%programfiles%Windows NT”文件夹下，重新命名为“SERVICES.EXE”。其会在被感染系统的“%SystemRoot%system32”文件夹下释放经过加壳保护的恶意DLL组件“ACE.dll”。遍历当前系统运行的所有进程，一旦发现某些安全软件的进程存在，便会尝试将其结束，致使被感染系统失去安全软件的防护。“系统杀手”变种bpm运行时，会将释放的恶意DLL组件“ACE.dll”插入到系统桌面程序“explorer.exe”等进程中隐秘运行。后台执行相应的恶意操作，以此隐藏自我，防止被轻易地查杀。其会在被感染系统的后台秘密监视用户的键盘和鼠标操作，伺机窃取用户输入的机密信息，并在后台将窃得的信息发送到骇客指定的站点或邮箱中（地址加密存放），给被感染系统用户造成了不同程度的损失。“系统杀手”变种bpm在运行完成后会创建批处理文件“$$c1.tmp.bat”并在后台调用执行，以此将自身删除。另外，“系统杀手”变种bpm会修改注册表启动项中的登陆初始化内容，以此实现自动运行。