返回顶部
位置:首页 > 文章资讯 > 电脑安全>系统之家病毒播报:变种rho“网银窃贼”活动猖狂
系统之家病毒播报:变种rho“网银窃贼”活动猖狂

发布时间:2021-04-01

来源:本站整理

最近出现几种新的电脑病毒,危害网民,值得大家高度重视,以下是今天带来的最新病毒播报,希望大家加强防范,注意安全。另外在此提醒您,及时更新病毒库和为系统打上最新补丁对于保护电脑安全非常重要,建议定期更新杀软病毒库,关注安全漏洞新闻。

英文名称:Backdoor/Inject.vv
中文名称:“植木马器”变种vv
病毒长度:117248字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:bae575fdee4c4457275d8031e16e6042
特征描述:
Backdoor/Inject.vv“植木马器”变种vv是“植木马器”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“植木马器”变种vv运行后,会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“TS.html”。在被感染系统“%programfiles%\NVIDIA\”文件夹下释放恶意DLL组件“IFGntEx.Dll”和“NVIDIA.OLE”,还会将“%programfiles%\NVIDIA\”文件夹设置为“隐藏”属性。“植木马器”变种vv属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的远程服务器站点“libai*3264.gicp.net”,获取客户端IP地址,然后侦听骇客指令,从而达到被远程控制的目的。该后门具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除用户计算机中存放着的机密信息,从而对用户的信息安全、个人隐私甚至是商业机密构成严重的威胁。感染“植木马器”变种vv的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外,其会篡改系统服务“W32Time”以实现开机自启。

英文名称:Trojan/Generic.cwnb
中文名称:“通犯”变种cwnb
病毒长度:70947字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:6db84778bfeb9211b2ea6085f9672cba
特征描述:
Trojan/Generic.cwnb“通犯”变种cwnb是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“通犯”变种cwnb运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“ishuqq.exe”。“通犯”变种cwnb属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的远程站点“m*ddos.3322.org”,获取客户端IP地址,然后侦听骇客指令,从而达到被远程控制的目的。利用该后门骇客可以查看、窃取系统用户的个人私密信息,还可以将被感染系统当作傀儡主机用以攻击其它计算机系统,从而对系统用户和互联网安全构成了严重的威胁。“通犯”变种cwnb的原病毒程序在运行完成后会将自身删除,以此消除痕迹。另外,其会注册名为“XieZutdg”的系统服务,以此实现开机自启。

英文名称:Trojan/PSW.Kykymber.kt
中文名称:“密室大盗”变种kt
病毒长度:55128字节
病毒类型:*号木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:09e29f747102f1b8c74648f8a74e9dd1
特征描述:
Trojan/PSW.Kykymber.kt“密室大盗”变种kt是“密室大盗”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,是一个由其它恶意程序释放的DLL文件,经过加壳保护处理。“密室大盗”变种kt运行后,会首先判断自身是否被注入到“ctfmon.exe”进程中,如果不是则退出运行。调用系统DLL组件“sfc_os.dll”中的5号函数,以此关闭Windows文件保护功能。将被感染系统“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下的“d3d8.dll”重新命名为“dsound.dll.PDPD”,将“%SystemRoot%\system32\”文件夹下含有恶意代码的“d3d8.dll.dat”分别复制到“%SystemRoot%\system32\”和“%SystemRoot%\system32\dllcache\”文件夹下,从而实现系统DLL文件“d3d8.dll”的替换。后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件存在,“密室大盗”变种kt便会尝试将其强行关闭,从而达到自我保护的目的。“密室大盗”变种kt是一个专门盗取“诛仙”网络游戏会员账号的木马程序,其会在被感染系统的后台秘密监视系统中运行的所有应用程序的窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。

英文名称:TrojanDownloader.FlyStudio.boe
中文名称:“苍蝇贼”变种boe
病毒长度:1253075字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:f88ce75fc7249873f5e3caccafd43384
特征描述:
TrojanDownloader.FlyStudio.boe“苍蝇贼”变种boe是“苍蝇贼”家族中的最新成员之一,采用“易语言”编写。“苍蝇贼”变种boe运行后,会自我复制到被感染系统的“C:\WINDOWS\system32\7605C6”文件夹下,重新命名为“74BE16.EXE”。在开始菜单“启动”文件夹下添加名为“FEBC97”的快捷方式(指向自身副本),以此实现开机自动运行。在被感染系统的“C:\WINDOWS\system32\E7301A”和“C:\Documents and Settings\Administrator\Local Settings\TempE_N4”文件夹下分别释放e语言运行库“cnvpe.fne”、“fp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fne”、“RegEx.fne”、“shell.fne”、“spec.fne”。在“c:\WINDOWS\system32”下创建空目录493882、970E43,用于记录某些数据。其会秘密搜集被感染系统中的指定数据,并会将窃得的信息发送到骇客指定的远程站点,从而给用户造成了不同程度的损失。其还会从骇客指定的远程站点下载恶意程序并自动调用运行,致使用户面临更多的威胁。另外,“苍蝇贼”变种boe可通过U盘进行传播。

英文名称:Trojan/Pincav.eyk
中文名称:“恶推客”变种eyk
病毒长度:225280字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:d1932d1c2ff836907cbbd56706451dc6
特征描述:
Trojan/Pincav.eyk“恶推客”变种eyk是“恶推客”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“恶推客”变种eyk运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\IXP000.TMP\”文件夹下释放恶意文件“QVODU~1.EXE”和“QVODSE~1.EXE”。恶意程序“QVODU~1.EXE”运行后,会在被感染系统的后台连接骇客指定的远程站点“rz12.7*182.com:8080/rz12/d.txt”,获取恶意程序下载列表,下载指定的恶意程序“system.exe”、“dvf.dll”、“ote.dll”到“%SystemRoot%\system32\”并自动调用运行。其所下载的恶意程序可能为网络游戏*号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。恶意程序“QVODSE~1.EXE”运行时,会修改防火墙规则,连接快播QVOD站点“qd.qvod.com”,下载程序“QvodSetupPlus.exe”进行强制安装。“恶推客”变种eyk在被感染系统中安装完成后,会将病毒自身的安装程序删除,从而达到消除痕迹的目的。另外,“恶推客”变种eyk会在被感染系统注册表启动项中添加键值“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0”,以此实现开机自启。

[page_break]

英文名称:Trojan/Generic.cwxj
中文名称:“通犯”变种cwxj
病毒长度:52736字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:6726868943153475f9499ba5beb4b80e
特征描述:
Trojan/Generic.cwxj“通犯”变种cwxj是“通犯”家族中的最新成员之一,采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“通犯”变种cwxj运行后,会将被感染系统“%SystemRoot%\system32\”文件夹下的DLL组件“wininet.dll”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“D.tmp”,然后加载“D.tmp”访问网络。后台连接骇客指定的远程站点“exe.ag*8.com:8080/cbnsc/”,获取恶意程序下载列表,下载指定的恶意程序01.jpg、02.jpg等并自动调用运行。后台连接骇客指定的远程站点“e11.c*95.com:8080/rx11/”,下载恶意程序“sc.png”并自动调用运行。其所下载的恶意程序可能为网络游戏*号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。其下载的恶意程序会通过修改注册表启动项的方式实现开机自启,还可通过U盘来达到自身传播的目的。

英文名称:Trojan/Banker.Banker.rho
中文名称:“网银窃贼”变种rho
病毒长度:39936字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:21ca3b09c1e80d0eac22803015cc0d03
特征描述:
Trojan/Banker.Banker.rho“网银窃贼”变种rho是“网银窃贼”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,经过加壳保护处理。“网银窃贼”变种rho运行后,会判断“%SystemRoot%\system32\drivers\”目录下是否存在hgfs.sys、prleth.sys、vmhgfs.sys。其中,hgfs.sys为VMware Tools的驱动文件,如发现存在该驱动文件则调用函数结束线程致使VMware虚拟机蓝屏,从而防止在虚拟机中运行此病毒。尝试获取DBGHELP.DLL(Ollydbg调试器动态链接库文件)、sbieDll.dll(沙盘动态链接库文件)句柄,判断自身是否处于被调试状态,如果发现被调试则会强行干扰调试过程。查找注册表“HKLM\HARDWARE\Description\System\SystemBiosVersion\VBOX”的键值是否为“55274-640-1532467-23148”,如果找到该值则会退出自身进程。“网银窃贼”变种rho运行时,会将恶意代码插入到系统桌面程序“explorer.exe”进程中隐秘运行。后台执行恶意操作,隐藏自我,防止被轻易地查杀。在被感染系统的后台连接骇客指定的远程站点“ your*ray.ru”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏*号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。

英文名称:Trojan/Scar.gih
中文名称:“毒疤”变种gih
病毒长度:91136字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:3d3a96e3620fed0b2e65447ecebee062
特征描述:
Trojan/Scar.gih“毒疤”变种gih是“毒疤”家族中的最新成员之一,采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“毒疤”变种gih运行后,会自我复制到被感染系统的“%USERPROFILE%\Local Settings\Temp\”和“%APPDATA%\”文件夹下,重新命名为“mstsc.exe”。还会在“%APPDATA%\Microsoft\”文件夹下释放恶意程序“comrepl.exe”,在“%SystemRoot%\system32\drivers\”文件夹下释放“esentutl.exe”。执行命令“%APPDATA%\Microsoft\comrepl.exe/waitservice”来启动恶意程序“comrepl.exe”。“毒疤”变种gih运行时,会在被感染系统的后台连接骇客指定的URL“www.kad*p.com/img/gt.cgi?s=3028995892&r=jcvc”,可能是对被感染系统进行数量统计。后台定时访问指定的恶意站点“ad.ope*ags.org”,以此提高这些网站的访问量(网络排名),给骇客带来了非法的经济利益,还会严重地影响和干扰用户的正常操作。另外,“毒疤”变种gih会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。

英文名称:Trojan/Scar.gbr
中文名称:“毒疤”变种gbr
病毒长度:87552字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:95d0eb93e8270d57e774ca7ae202acfc
特征描述:
Trojan/Scar.gbr“毒疤”变种gbr是“毒疤”家族中的最新成员之一,采用“Microsoft Visual Studio .NET 2005 -- 2008”编写。“毒疤”变种gbr运行后,会自我复制到被感染系统“%USERPROFILE%\Local Settings\Application Data\Microsoft\”、“%SystemRoot%\”、“%SystemRoot%\system\”等文件夹下,重新命名为“sessmgr.exe”、“comrepl.exe”、“ieudinit.exe”、“logman.exe”。执行命令“%SystemRoot%\system\logman.exe/waitservice”,以此启动恶意程序“logman.exe”。“毒疤”变种gbr运行时,会在被感染系统的后台连接骇客指定的URL“www.ka*ap.com/img/gt.cgi?s=3028995892&r=jcvc”,可能是为了对被感染系统进行数量统计。在被感染系统的后台定时访问指定的站点“ad.open*gs.org”,以此提高这些网站的访问量(网络排名),给骇客带来了非法的经济利益。另外,“毒疤”变种gbr会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。

英文名称:Trojan/Generic.dbpz
中文名称:“通犯”变种dbpz
病毒长度:154130字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:8511d70393705bc274e83b2d6f20cfec
特征描述:
Trojan/Generic.dbpz“通犯”变种dbpz是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“通犯”变种dbpz运行后,会在被感染系统的“%programfiles%\Common Files\”文件夹下释放恶意DLL组件“lanmao.dll”和“loader.dll”。后台连接骇客指定的站点“http://121.14.*.219:9091/”、“http://bo*gqi.6gg.cn/”、“http://www.xun*100.com/msn/software/partner/s/”、“http://download.l*a.cn/GAME/36/”、“http://www.xu*100.com/youbak/software/partner/9010/”,下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏*号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。秘密连接骇客指定的服务器“gtsz*cd.gicp.net”,侦听骇客指令,在被感染的计算机上执行相应的恶意操作。骇客可通过“通犯”变种dbpz完全远程控制被感染的计算机系统,致使系统用户的个人隐私面临着严重的威胁。“通犯”变种dbpz的主程序在执行完毕后会将自身删除,从而达到消除痕迹的目的。另外,其会创建名为“T1Crr6fX&”的服务,以此实现开机自启。

[page_break]

英文名称:Trojan/Pincav.lmz
中文名称:“恶推客”变种lmz
病毒长度:40960字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:f07bda38245f0145a07fc08bd49190a2
特征描述:
Trojan/Pincav.lmz“恶推客”变种lmz是“恶推客”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“恶推客”变种lmz运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“ggdrive32.exe”并调用运行。“恶推客”变种lmz会在被感染系统的“%USERPROFILE%\”文件夹下释放恶意文件“bnet.exe”和“serv.exe”,并将“bnet.exe”复制到系统盘的“\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\”文件夹下,重新命名为“syitm.exe”。在系统盘根目录和“\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\”文件夹下分别释放恶意文件“xdx.exe”和“acleaner.exe”。在被感染计算机的后台秘密窃取系统配置信息,然后从指定的远程站点“http://www.ni*on.to/cgi-bin/prxjdg.cgi”、“http://two.nat*aoi.com/”、“http://one.natn*aoi.com/”、“http://xppc*girl.com/udv.exe”下载恶意程序并调用运行。其所下载的恶意程序可能为网络游戏*号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。秘密连接骇客指定的IP“60.190.*.125”,侦听骇客指令,在被感染的计算机上执行相应的恶意操作。攻击者可通过“恶推客”变种lmz完全远程控制被感染的计算机系统,致使用户的个人隐私面临着严重的威胁。另外,“恶推客”变种lmz会在被感染系统注册表启动项中添加键值,以此实现开机自动运行。

英文名称:TrojanDownloader.Generic.dcy
中文名称:“通犯”变种dcy
病毒长度:206866字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:56ecc3afb3d5300f6dc11c5ae3464aa8
特征描述:
TrojanDownloader.Generic.dcy“通犯”变种dcy是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“通犯”变种dcy运行后,会在被感染系统的“%SystemRoot%\”文件夹下释放恶意DLL组件“fxsst.dll”。在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“cdf1912.tmp”、“inl3.tmp”“favorites_url.cab”并自动调用执行,还会自动下载“看看网络电视”并安装。在桌面和收藏夹中创建Internet快捷方式“八卦色图”、“美女乐园欢”、“淘宝购物”、“团购之家”,从而诱导用户访问指定的站点。在被感染系统中定时弹出广告网页或广告条窗口,给骇客带来了非法的经济收益。另外,“通犯”变种dcy会在被感染系统注册表启动项中添加键值,以此实现开机自启。

英文名称:Trojan/Buzus.tey
中文名称:“霸族”变种tey
病毒长度:387584字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:224faa69ca072344ea29518ee79d95cc
特征描述:
Trojan/Buzus.tey“霸族”变种tey是“霸族”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“霸族”变种tey运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意DLL组件“kb056168.sve”,然后将其复制到“%programfiles%\Common Files\system\”文件夹下,重新命名为“kb056168.dla”(文件属性设置为“隐藏、存档”)。其会将“%SystemRoot%\system32\dsound.dll”重新命名为“dsound.dll.dat”,然后向其中添加恶意代码。调用系统DLL组件“sfc_os.dll”中的5号函数,以此关闭Windows文件保护功能。将“%SystemRoot%\system32\dllcache\dsound.dll”重新命名为“dsound.dll.EBYH”,然后将包含恶意代码的“dsound.dll.dat”复制到%SystemRoot%\system32\dllcache\”和“%SystemRoot%\system32\”文件夹下,重新命名为“dsound.dll”。后台遍历当前系统中运行的所有进程,如果发现“360tray.exe”存在,“霸族”变种tey便会尝试将其强行关闭,从而达到自我保护的目的。“霸族”变种tey是一个专门盗取“反恐精英online”和“地下城和勇士”网络游戏会员账号的木马程序,其会在被感染计算机的后台秘密监视系统中运行的所有应用程序的窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的URL“www.c*y.tk/zwepp/lin.asp”,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“霸族”变种tey的主程序在安装完成后会创建批处理文件“tempVidio.bat”并调用运行,以此消除痕迹。

英文名称:Backdoor/SdBot.kdc
中文名称:“赛波”变种kdc
病毒长度:56832字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:f20e8c9c98299f3d68e376449d103100
特征描述:
Backdoor/SdBot.kdc“赛波”变种kdc是“赛波”家族中的最新成员之一,采用高级语言编写。“赛波”变种kdc运行后,会自我复制到被感染系统的“%SystemRoot%\”文件夹下,重新命名为“winudspm.exe”。“赛波”变种kdc属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的远程站点“xn--mg-*a.com”,获取客户端地址,尝试加入2个僵尸网络的群组:“#blockbot2”和“#blockbot.msn”,然后侦听骇客指令,从而达到被远程控制的目的。该后门具有远程监视、控制、下载恶意程序等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除用户计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成了严重的威胁。感染“赛波”变种kdc的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外,“赛波”变种kdc会在被感染系统注册表启动项中添加键值,以此实现开机自启。“赛波”变种kdc可通过MSN消息进行传播。