病毒周报
“偷取者”(Trojan/Win32.BHO.anbp)威胁级别:★★
该病毒为木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。病毒的dll文件随IEXPLORER.EXE进程的启动而启动,进行劫持浏览器,键盘记录等相关病毒行为。主动连接网络,开启本地端口,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以进行劫持浏览器,键盘记录,盗取用户敏感信息。
“修改者木马”(Trojan/Win32.StartPage.aggp[Dropper]) 威胁级别:★★
该病毒为木马类,病毒运行后遍历进程,查找杀软相关进程并关闭;删除桌面上的IE浏览器图标,创建一个执行指定主页的网站,在系统目录下衍生病毒配置文件,修改host文件屏蔽部分网址导航网站并将其导航到指定页面;修改注册表添加启动项,修改ie浏览器的默认主页;连接指定的网站发送本地用户相关的信息。
“QQ大盗”(Trojan/Win32.QQPass.yia) 威胁级别:★★
该病毒为QQ盗号木马,运行后病毒生成dll到%System32%目录下,病毒扫描系统是否安装360杀毒、360安全卫士等360查杀软件,如果有,则修改其系统目录,使之不能正常运行,以达到降低系统安全性的目的。扫描系统进程,直至查找到QQ.exe,结束该进程并判断其版本。重启QQ.exe,并通过键盘记录的方式获得用户的账号和密码,通过网络方式上传到病毒作者指定的链接。
“vb木马”(Trojan/Win32.VB.alay)威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件。修改注册表,添加启动项,以达到随机启动的目的。添加防火墙规则到Windows Firewall授权软件列表,使病毒穿透防火墙不受阻挡。强行设置主页,修改hosts文件信息。主动连接网络,下载相关病毒文件信息。
“网络僵尸变种”(Trojan/Win32.Agent.ayqh[Dropper]) 威胁级别:★★
该恶意代码文件为DDOS网络僵尸类木马,病毒运行后,会释放驱动文件并将自身复制到系统目录下、创建注册表病毒服务,并通过以服务方式启动病毒、试图恢复SSDT来躲避安全软件的主动防御检测,开启一个SVCHOST进程将病毒代码写入该进程中连接到病毒作者的IP地址等待控制端发送控制指令、这个病毒具有自我更新功能!被感染的用户会被控制端发起DDOS攻击命令利用感染用户的宽带来指定DDOS一个或者多个IP和域名地址给用户造成短时间内网络瘫痪的可能。
“QQ大盗”(Trojan/Win32.QQPass.fxs) 威胁级别:★★
该病毒为QQ盗号木马,运行后病毒生成comres.dll到%System32%目录下,病毒扫描系统是否安装360杀毒、360安全卫士等360查杀软件,如果有,则修改其系统目录,使之不能正常运行,以达到降低系统安全性的目的。扫描系统进程,直至查找到QQ.exe,结束该进程并判断其版本。重启QQ.exe,并通过键盘记录的方式获得用户的账号和密码,通过网络方式上传到病毒作者指定的链接。
“偷取者”(Trojan/Win32.BHO.amxk)威胁级别:★★
该病毒为木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。病毒的dll文件随IEXPLORER.EXE进程的启动而启动,进行劫持浏览器,键盘记录等相关病毒行为。主动连接网络,开启本地端口,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以进行劫持浏览器,键盘记录,盗取用户敏感信息。
“伪杀毒软件”(Trojan/Win32.FraudLoad.xfpr[Downloader]) 威胁级别:★★
该恶意代码文件为伪杀毒软件,病毒伪装成WINDOWS自动升级程序,这个病毒文件会修改注册表破坏系统的安全性,伪装系统的安全威胁提示,禁用WINDOWS任务管理器、释放多个病毒文件到临时目录下、添加注册表启动项,连接网络下载伪杀毒软件安装后自动扫描系统目录,将多个系统正常文件误报为病毒文件、提示用户删除,当用户点击删除之后伪杀毒软件要求用户购买才可以清除,欺骗用户购买该伪杀毒软件。
“灰鸽子变种”(Backdoor/Win32.Hupigon.mgcu) 威胁级别:★★
该病毒为灰鸽子变种,病毒运行后复制自身到系统目录,重命名,并删除自身。创建服务,以服务的方式达到随机启动的目的。连接网络下载远程控制端IP地址,主动尝试上线。上线成功后,远程控制端能够对用户机器进行键盘记录,屏幕监控,摄像头抓图,文件操作,进程操作等远程控制。
“木马间谍”(Trojan/Win32.Delf.afkf[SPY])威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。关闭Windows自动更新,关闭Windows自带防火墙。通过恶意网站、其它病毒/木马下载传播;该病毒具有间碟功能,可以盗取用户敏感信息。
“偷取者”(Trojan/Win32.OnLineGames.xdlc[GameThief]) 威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,并重命名,衍生病毒文件,并删除自身。修改注册表,添加服务项,以达到随机启动的目的。删除注册表中的服务项,修改注册表项以关闭错误报告。主动连接网络,更新病毒文件,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。
“vb木马”(Trojan/Win32.VB.fli) 威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件。修改注册表,添加启动项,以达到随机启动的目的。添加防火墙规则到Windows Firewall授权软件列表,使病毒穿透防火墙不受阻挡。强行设置主页,修改hosts文件信息。主动连接网络,下载相关病毒文件信息。
“AV杀手”(Trojan/Win32.Geral.vng[Downloader]) 威胁级别:★★
该恶意程序为反制安全软件的木马,尤其针对卡巴斯基。恶意程序遍历进程查找AVP.EXE,找到之后试图关闭其进程,并添加注册表映像劫持、劫持多个系统进程和安全软件,另外病毒会创建一个驱动设备伪装成系统驱动设备来隐藏自身,病毒运行完毕后删除自身,并试图连接网络发送安装统计信息。
“偷取者”(Trojan/Win32.BHO.akza)威胁级别:★★
该病毒为木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。病毒的dll文件随IEXPLORER.EXE进程的启动而启动,进行劫持浏览器,键盘记录等相关病毒行为。主动连接网络,开启本地端口,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以进行劫持浏览器,键盘记录,盗取用户敏感信息。
“隐秘者”(Trojan/Win32.TDSS.bkrp[Rootkit]) 威胁级别:★★
该病毒运行之后,复制自身到%Temp%目录下,使用Rootkit技术在系统中隐藏自身行为,连接网络下载3个病毒文件(该病毒文件下载的文件可能随时间变化不定),将下载的病毒文件保存到%Temp%目录下,病毒运行完毕后删除自身文件。病毒会连接网络下载文件并运行。
“间谍木马”(Trojan/Win32.Zbot.anvs[SPY])威胁级别:★★
病毒运行后,复制自身到%System32%目录下,在该目录下衍生多个文件;修改注册表,使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中;将病毒主体添加到卡巴斯基反病毒软件的信任区域;为卡巴斯基添加新规则开放最大权限;绕过金山反病毒软件的主动防御;病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行,从而盗取或控制用户的计算机。
“代理木马”(Trojan/Win32.Agent.cyse) 威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,并重命名,衍生病毒文件,并删除自身。修改注册表,添加服务项,以达到随机启动的目的。删除注册表中的服务项,修改注册表项以关闭错误报告。主动连接网络,更新病毒文件,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。
“修改者木马”(Trojan/Win32.StartPage.bfz[Dropper]) 威胁级别:★★
该病毒为木马类,病毒运行后遍历进程,查找杀软相关进程并关闭;删除桌面上的IE浏览器图标,创建一个执行指定主页的网站,在系统目录下衍生病毒配置文件,修改host文件屏蔽部分网址导航网站并将其导航到指定页面;修改注册表添加启动项,修改ie浏览器的默认主页;连接指定的网站发送本地用户相关的信息。
“支付宝劫持器”(Trojan/Win32.Banker.ue[Banker]) 威胁级别:★★
该病毒是一个窃取支付宝和银行账号的木马,EXE病毒文件为易语言所写,病毒运行之后衍生Shells.dll文件到系统目录下,创建2个隐藏CMD.EXE进程,删除队列消息。遍历进程查找CMD.EXE进程,将衍生的Shells.dll病毒文件注入到CMD进程中,注入成功后弹出一个“文件已损坏!”的信息框误导用户以为文件损坏而不怀疑病毒文件,将病毒DLL注入之后调用远程线程执行病毒代码。
“偷取者”(Trojan/Win32.BHO.ajqx)威胁级别:★★
该病毒为木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。病毒的dll文件随IEXPLORER.EXE进程的启动而启动,进行劫持浏览器,键盘记录等相关病毒行为。主动连接网络,开启本地端口,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以进行劫持浏览器,键盘记录,盗取用户敏感信息。
“控制者”(Backdoor/Win32.Bifrose.czts) 威胁级别:★★
该病毒为客户端,根据用户要求,能生成包括DNS服务器、打开的远程端口、C/S验证口令、安装目录、启动注册表键值,是否注射进程等功能的服务端。该病毒运行后,衍生病毒副本到系统目录%windows%或%System32%下,添加注册表启动项,以便在系统启动后运行,使受感染主机可能被运行有害程序。
“口令偷取木马”(Trojan/Win32.Patched.jw) 威胁级别:★★
病毒运行后在系统目录下创建一个目录,并衍生多个病毒文件到该目录下,将衍生的病毒文件创建时间设置为系统的user32.dll文件的创建时间,创建一个hlp.dat到%System32%目录下,打开系统的spooler服务、调用病毒衍生的驱动文件,执行完毕后删除自身,将系统的iexplore.exe、winlogon.dat文件拷贝到%Windir%\temp\目录下作为备份,然后对系统的这2个文件进行感染,修改iexplore.exe、winlogon.dat文件的入口点,使其运行后先执行病毒代码,添加注册表项,最后将自身移动到系统目录下。
“骗取者”(Trojan/Win32.QQPass.vor[stealer])威胁级别:★★
该病毒运行后,创建窗体,调用系统API函数将窗口最小化到托盘,获取注册表QQ安装位置,添加启动项;释放加密文件到系统根目录下,读取内容后将其删除;修改系统host文件,使访问腾讯官方网站、深圳市公证处网站指向恶意网站;遍历系统进程,反制反病毒软件;该病毒运行一定时间后会在系统托盘图标假冒腾讯信息提示,如果双击该提示会显示假冒的腾讯系统消息,并要求用户点击查看详细信息进入恶意网站。
“偷取者”(Trojan/Win32.BHO.ajkw) 威胁级别:★★
该病毒为木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。病毒的dll文件随IEXPLORER.EXE进程的启动而启动,进行劫持浏览器,键盘记录等相关病毒行为。主动连接网络,开启本地端口,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以进行劫持浏览器,键盘记录,盗取用户敏感信息。
“灰鸽子变种”(Backdoor/Win32.Hupigon.limg) 威胁级别:★★
该病毒为灰鸽子变种,病毒运行后复制自身到系统目录,重命名,并删除自身。创建服务,以服务的方式达到随机启动的目的。连接网络下载远程控制端IP地址,主动尝试上线。上线成功后,远程控制端能够对用户机器进行键盘记录,屏幕监控,摄像头抓图,文件操作,进程操作等远程控制。
“控制者”(Backdoor/Win32.Bifrose.cwvs)威胁级别:★★
该病毒为客户端,根据用户要求,能生成包括DNS服务器、打开的远程端口、C/S验证口令、安装目录、启动注册表键值,是否注射进程等功能的服务端。该病毒运行后,衍生病毒副本到系统目录%windows%或%System32%下,添加注册表启动项,以便在系统启动后运行,使受感染主机可能被运行有害程序。
“霸族变种”(Trojan/Win32.Buzus.faqw) 威胁级别:★★
该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找内存空间地址,并比较,申请内存空间将病毒代码写入到内存空间,在进程中创建线程释放病毒文件到%System32%目录下,修改注册表使系统文件达到启动病毒的目的,连接网络。
“间谍木马”(Trojan/Win32.Zbot.ahcf[SPY]) 威胁级别:★★
病毒运行后,复制自身到系统目录下,在该目录下衍生多个文件;修改注册表,使衍生的文件伴随系统文件启动而启动,以及将病毒文件加入到CMD.EXE的调用扩展中;将病毒主体添加到反病毒软件的信任区域;并绕过反病毒软件的主动防御;病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行;盗取或控制用户的计算机。
“QQ窃取者”(Trojan/Win32.QQPass.ufz[PSW]) 威胁级别:★★
该恶意代码文件为QQ盗号木马,病毒运行后会释放一个psaip.dll文件到QQ目录下伪装成系统DLL文件,然后病毒通过修改QQ目录下的2个DLL文件达到劫持%SYSTEM32%目录下的psaip.dll,使QQ加载DLL的动态链接库文件时会加载病毒根目录下的psaip.dll(病毒文件),一旦病毒DLL被QQ加载之后,病毒会利用非法手段截取QQ账号密码发送到作者地址中,该木马可能只窃取QQ会员账号。
“下载者木马”(Trojan/Win32.Agent.bydg[Dropper])威胁级别:★★
该病毒为木马类病毒,病毒运行后,创建进程加载病毒DLL文件,添加注册表启动项,创建相应快捷方式文件到桌面,将病毒dll文件注入到Explorer.exe进程中,调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下,病毒DLL文件主要行为:当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载,当用户选择“是”则会连接网络下载文件,当用户选择“否”则会弹出一个网页模拟本地磁盘,显示存在的威胁数量并提示用户是否下载扫描器,严重影响用户对本地磁盘的正常浏览。
“QQ窃取者”(Trojan/Win32.QQPass.ufz[PSW]) 威胁级别:★★
该恶意程序为QQ盗号木马,病毒运行后会释放一个psaip.dll文件到QQ目录下伪装成系统DLL文件,然后病毒通过修改QQ目录下的2个DLL文件达到劫持%SYSTEM32%目录下的psaip.dll,使QQ加载DLL动态链接库文件时会加载病毒根目录下的psaip.dll(病毒文件),一旦病毒DLL被QQ加载之后,病毒会利用非法手段截取QQ账号密码发送到作者指定地址中,该木马可能只窃取QQ会员账号。
“木马下载者变种”(Trojan/Win32.Small.kpb[Downloader])威胁级别:★★
该病毒为木马类,病毒运行后复制自身到%system32%下,并重命名,之后删除自身,修改注册表,添加启动项,以达到随机启动的目的。该病毒以网络连接的形式传播,近期比较流行。
“U盘寄生虫变种”(Worm/Win32.AutoRun.bkev) 威胁级别:★★
该病毒为蠕虫类,病毒运行后复制自身到系统目录下,并衍生病毒文件;修改注册表,添加启动项,降低IE浏览器的安全性能,锁定“文件夹选项”中对隐藏文件的显隐选择,连接网络下载病毒文件,并执行;病毒运行完毕后删除自身。
“控制者”(Backdoor/Win32.Bifrose.cvqg) 威胁级别:★★
该病毒为客户端,根据用户要求,能生成包括DNS服务器、打开的远程端口、C/S验证口令、安装目录、启动注册表键值,是否注射进程等功能的服务端。该病毒运行后,衍生病毒副本到系统目录%windows%或%System32%下,添加注册表启动项,以便在系统启动后运行,使受感染主机可能被运行有害程序。
“魔兽窃贼”(Trojan/Win32.WOW.ipo[Stealer])威胁级别:★★
该恶意代码文件为魔兽世界游戏盗号木马,病毒运行后遍历进程查找avp.exe、ravmond.exe进程,如果2个进程存在任意一个,则会判断注册表是否有魔兽世界注册表项,直到找到该注册表项为止,如果不存在以上2个进程,则会遍历进程查找wow.exe、backgrounddownloader.exe进程并将其强行结束,遍历注册表查找魔兽世界注册表键值,找到之后删除魔兽世界目录下的ksuser.dll文件(如果注册表不存在魔兽世界键值则不衍生),并重新创建一个同名文件到游戏目录下,将属性设置为隐藏,创建互斥体防止病毒多次运行,再次遍历进程查找avp.exe、ravmond.exe进程如果找到进程,则衍生DLL文件到%TEMP%临时目录下,使用rundll32.exe启动衍生的病毒DLL文件,如果进程中不存在以上2个安全软件进程,则会衍生随机病毒名文件到%TEMP%临时目录下,动态加载衍生的随机病毒名文件,调用病毒DLL模块HHHH来设置钩子,通过消息钩子截取魔兽世界游戏账号密码,将截取的游戏账号密码以email和URL方式发送到病毒作者地址中。
“骗取者”(Trojan/Win32.QQPass.vcf[stealer]) 威胁级别:★★
该病毒运行后,创建窗体,调用系统API函数将窗口最小化到托盘,获取注册表QQ安装位置,添加启动项;释放加密文件到系统根目录下,读取内容后将其删除;修改系统host文件,使访问腾讯官方网站、深圳市公证处网站指向恶意网站;遍历系统进程,反制反病毒软件;该病毒运行一定时间后会在系统托盘图标假冒腾讯信息提示,如果双击该提示会显示假冒的腾讯系统消息,并要求用户点击查看详细信息进入恶意网站。此网站为钓鱼网站。
“代理木马”(Trojan/Win32.Agent.emvl) 威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,并重命名,衍生病毒文件,并删除自身。修改注册表,添加服务项,以达到随机启动的目的。删除注册表中的服务项,修改注册表项以关闭错误报告。主动连接网络,更新病毒文件,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。
“下载者木马”(Trojan/Win32.Agent.cjub[Dropper])威胁级别:★★
该病毒为木马类病毒,病毒运行后,创建进程加载病毒DLL文件,添加注册表启动项,创建相应快捷方式文件到桌面,将病毒dll文件注入到Explorer.exe进程中,调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下,病毒DLL文件主要行为:当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载,当用户选择“是”则会连接网络下载文件,当用户选择“否”则会弹出一个网页模拟本地磁盘,显示存在的威胁数量并提示用户是否下载扫描器,严重影响用户对本地磁盘的正常浏览。
“木马间谍”(Trojan/Win32.Delf.fat[SPY]) 威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。关闭Windows自动更新,关闭Windows自带防火墙。通过恶意网站、其它病毒/木马下载传播;该病毒具有间碟功能,可以盗取用户敏感信息。
“骗取者”(Trojan/Win32.QQPass.uqw[stealer])威胁级别:★★
该病毒运行后,创建窗体,调用系统API函数将窗口最小化到托盘,获取注册表QQ安装位置,添加启动项;释放加密文件到系统根目录下,读取内容后将其删除;修改系统host文件,使访问腾讯官方网站、深圳市公证处网站指向恶意网站;遍历系统进程,反制反病毒软件;该病毒运行一定时间后会在系统托盘图标假冒腾讯信息提示,如果双击该提示会显示假冒的腾讯系统消息,并要求用户点击查看详细信息进入恶意网站。此网站为钓鱼网站。
“偷取者”(Trojan/Win32.BHO.ahyr) 威胁级别:★★
该病毒为木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。病毒的dll文件随IEXPLORER.EXE进程的启动而启动,进行劫持浏览器,键盘记录等相关病毒行为。主动连接网络,开启本地端口,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以进行劫持浏览器,键盘记录,盗取用户敏感信息。
“窃取者”(Trojan/Win32.Agent.bhta[Rootkit]) 威胁级别:★★
病毒运行后获取磁盘类型,如果是可移动磁盘,调用EXPLORER.EXE打开磁盘,创建一个管道"\\.\pipe\{D952F2D0-0BCE-4b2b-8FFF-2317F120FCC3}",遍历进程查找RavMonD.exe、360tray.exe、MPSVC.exe,如果发现存在以上3个进程调用内核函数强行结束,打开服务设备管理器遍历系统多个服务试图修改感染系统服务文件,来启动执行病毒代码,如果服务设备管理器打开失败则创建注册表服务、衍生病毒DLL文件到%System32%目录下,利用服务启动病毒,修改本机HOSTS文件、释放病毒驱动文件试图恢复SSDT,添加注册表映像劫持,劫持多款安全软件,连接网络下载伪RAR压缩包、该包为加密文件、该包内包含大量恶意病毒文件,大部分为盗号木马!通过病毒解密之后释放多个病毒文件隐藏运行,获取磁盘类型,如果发现可移动磁盘则感染磁盘内所有可执行文件,遍历磁盘类*.EXE和*.rar包内的*.EXE文件在文件尾部添加一个随机字符节,向文件内写入184320字节病毒数据,修改入口点指向病毒代码,在可移动磁盘根目录下创建一个autorun.inf和文件回收站将病毒文件放入回收站里使其双击打开回收站内的病毒文件。
“下载者木马”(Trojan/Win32.Agent.cgfg[Dropper])威胁级别:★★
该病毒为木马类病毒,病毒运行后,创建进程加载病毒DLL文件,添加注册表启动项,创建相应快捷方式文件到桌面,将病毒dll文件注入到Explorer.exe进程中,调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下,病毒DLL文件主要行为:当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载,当用户选择“是”则会连接网络下载文件,当用户选择“否”则会弹出一个网页模拟本地磁盘,显示存在的威胁数量并提示用户是否下载扫描器,严重影响用户对本地磁盘的正常浏览。
“QQ游戏窃取器”(Trojan/Win32.Win32.OnLineGames.bnkb[Stealer]) 威胁级别:★★
该病毒文件为QQ三国游戏盗号木马,病毒运行后创建互斥体MutexName = "qqsg0312",防止病毒多次运行、遍历进程查找"QQSG.exe"进程,找到之后强行结束该进程,查找注册表QQ三国的path位置,如果找到该键值则将%Systme32%目录下的LPK.DLL文件拷贝一份到游戏目录下命名为"syswim.dll",在游戏目录下创建一个"qqsginit.dll"、LPK.dll文件并将文件属性设置为隐藏,如果注册表找不到游戏键值则不执行以上创建文件代码,遍历进程找到"avp.exe"、"RavMonD.exe",找到后创建注册表服务衍生q3g.dll到%TEMP%临时目录下,调用rundll32.exe加载衍生的病毒DLL文件,如果找不到以上2个安全软件进程将%Windir%目录下的notepad.exe拷贝一份命名为ctfmon.exe,遍历进程查找ctfmon.exe进程、衍生随机病毒DLL文件到临时目录下,动态加载病毒DLL文件,调用病毒DLL文件的wdon模块,设置消息钩子、试图将病毒DLL注入到所有进程中、查找窗口类名为TT_WebCtrl、container的窗口、通过消息钩子截取游戏账号密码以URL方式将账号密码发送到作者指定的地址中。
“代理木马cppg”(Trojan/Win32.Agent.cpph) 威胁级别:★★
病毒运行后,衍生文件到系统目录下,并删除自身。修改注册表创建一个服务启动项,以达到随机启动的目的。将动态链接库注入到explorer.exe进程,达到隐藏自身躲避防火墙的目的,并收集各种敏感信息。连接网络发送信息,并尝试关闭反病毒软件。
“游戏窃取器”(Trojan/Win32.Win32.OnLineGames.bnjy[Stealer])威胁级别:★★
该病毒文件为天龙八部游戏盗号木马,病毒运行后枚举屏幕上所有的顶层窗口,遍历进程查找TLBBDownload.bin进程,找到之后强行结束该进程,枚举注册表缓存信息键值下是否有"\Launch.bi",如果找到该键值则将%Systme32%目录下的LPK.DLL文件拷贝一份到游戏目录下命名为woool.dll、gametl.dll,如果注册表找不到天龙八部游戏关键键值,则创建互斥体"ctlasdfgh",遍历进程找到"avp.exe"、"RavMonD.exe",找到后创建注册表服务衍生tl.dll到%TEMP%临时目录下,调用rundll32.exe加载衍生的病毒DLL文件,如果找到以上2个安全软件进程,则衍生随机病毒名文件到临时目录下,并将文件属性设置为隐藏不可见,动态加载衍生的随机病毒DLL文件,调用病毒DLL文件的Hookon模块,试图将病毒DLL注入到所有进程中,设置消息钩子拦截鼠标键盘消息截取游戏账号信息,将截取到的游戏账号及密码以URL方式发送到作者指定的地址中。
“伪装者”(Trojan/Win32.Scar.bvoj) 威胁级别:★★
病毒运行后,释放一个伪装的系统文件到系统文件夹下,并删除木马自身。该文件用以伪装Windows系统的帮助文件,并设置该文件属性为系统隐藏的属性,使得一般用户难以察觉。程序运行后,会调用services.exe加载自身为服务项,然后通过修改和调用svchost.exe进程,访问远程服务器,伺机接受远程指令,下载更多恶意程序到受感染计算机,给计算机安全造成重大隐患。
“本地磁盘模拟者”(Trojan/Win32.Agent.bpvh[Dropper])威胁级别:★★
该病毒为木马类病毒,病毒运行后,创建进程加载病毒DLL文件,添加注册表启动项,创建相应快捷方式文件到桌面,将病毒dll文件注入到Explorer.exe进程中,调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下,病毒DLL文件主要行为:当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载,当用户选择“是”则会连接网络下载文件,当用户选择“否”则会弹出一个网页模拟本地磁盘,显示存在的威胁数量并提示用户是否下载扫描器,严重影响用户对本地磁盘的正常浏览。
“U盘寄生虫变种”(Worm/Win32.AutoRun.bade) 威胁级别:★★
该病毒为蠕虫类,病毒运行后复制自身到系统目录下,并衍生病毒文件;修改注册表,添加启动项,降低ie浏览器的安全性能,锁定“文件夹选项”中对隐藏文件的显隐选择,连接网络下载病毒文件,并执行;病毒运行完毕后删除自身。
“疯狂下载者”(Trojan/Win32.Win32.Agent.dkpa[Downloader]) 威胁级别:★★
该恶意代码文件为木马,病毒运行后初始化socket与控制端建立网络进行通信,如果连接失败调用函数获取随机数,将随机数作为休眠参数传给SLEEP函数执行,休眠一段时间再次重新建立连接直到连接成功为止,建立连接成功之后向客户端发送本机计算机名称,服务器将返回URL下载连接地址,病毒创建2个线程,线程1负责连接网络发送请求,线程2负责接收服务器返回的数据,衍生病毒文件到%WINDIR%目录下,衍生的病毒文件运行后释放驱动文件恢复SSDT、添加注册表病毒服务、服务启动之后删除驱动文件,拷贝自身到%WINDIR%目录下命名为csrse.exe,连接网络下载病毒文件,并尝试向指定域名请求数据,因下载的病毒文件根据客户端服务器而变化不固定、可能有盗号木马和远程控制类木马。
“间谍木马”(Trojan/Win32.Zbot.akag[SPY])威胁级别:★★
病毒运行后,复制自身到%System32%目录下,在该目录下衍生多个文件;修改注册表,使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中;将病毒主体添加到卡巴斯基反病毒软件的信任区域;为卡巴斯基添加新规则开放最大权限;绕过金山反病毒软件的主动防御;病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行,从而盗取或控制用户的计算机。
“DNF窃贼”(Trojan/Win32.Vilsel.aepw) 威胁级别:★★
该恶意代码文件为DNF游戏盗号木马,病毒运行之后衍生病毒文件到%System32%目录下命名为2tgfsddaew4refdsd.ime(该后缀名文件为输入法文件)并将该文件改名为随机名*.drv(该后缀名文件为设备驱动程序)后缀名文件,然后再次创建一个2tgfsddaew4refdsd.ime到该目录下,调用输入法API函数来安装创建的病毒文件伪装成(中文(简体)-智能CBA),因为DNF游戏有Tenprotect网游反外挂引擎保护无法正常将DLL注入到该游戏进程中,所以病毒利用该手段通过用户切换输入法方式将病毒DLL注入进游戏进程中,衍生2个DLL文件之后,查找类名"TWINCONTROL"标题名为“地下城与勇士”、“地下城勇士”的窗口,找到之后向该窗口发送关闭消息,调用"rundll32.exe"来加载2tgfsddaew4refdsd.ime文件,将病毒文件注入到Explorer.exe、conime.exe进程中,释放批处理文件删除病毒原文件,病毒DLL文件分析:判断自身模块是否在DNF进程中,并获取DNF窗口相关信息,通过内存技术截取账号密码,将获取的账号密码发送到作者指定的地址中。
“记录间谍”(Trojan/Win32.KeyLogger.fqs[Spy]) 威胁级别:★★
该病毒图标为jpg格式文件图标;该文件是由一个图片文件和一个病毒文件用winrar组成的自解压复合文件;病毒运行后衍生病毒文件到%Windir%目录下,衍生图片文件到%Windir%\temp下,用以迷惑用户;修改注册表添加启动项,使病毒文件随机启动;病毒运行后记录当前用户的键盘操作,保存到%Windir%目录下的winhlp32.hlp文件中;连接FTP服务器,将捕获的键盘数据发送到指定的目录。该病毒通过病毒作者向攻击目标的email地址发送邮件的方式进行传播。
“vb木马”(Trojan/Win32.VB.afti)威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件。修改注册表,添加启动项,以达到随机启动的目的。添加防火墙规则到Windows Firewall授权软件列表,使病毒穿透防火墙不受阻挡。强行设置主页,修改hosts文件信息。主动连接网络,下载相关病毒文件信息。
“IE修改器”(Trojan/Win32.StartPage.abps) 威胁级别:★★
该病毒运行后,衍生病毒文件到%system32%与病毒当前目录下。添加注册表加载项以在重新启动系统后加载病毒体运行。之后会连接某地址下载病毒文件到本机运行。添加计划任务,以便定时运行,造成强行插入IE插件等影响,给用户带来不便。
“U盘寄生虫”(Worm/Win32.Piloyd.bg[Net]) 威胁级别:★★
该病毒文件利用U盘传播自身,当用户通过USB口插上U盘时病毒会遍历本地所有磁盘类型,如果发现可移动磁盘则会将病毒文件拷贝到磁盘目录下,如果系统没有屏蔽掉自动播放功能将会直接运行病毒,病毒一旦运行之后则会对操作系统造成很大的破坏性。
“偷取者”(Trojan/Win32.BHO.agpm)威胁级别:★★
该病毒为木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。病毒的dll文件随IEXPLORER.EXE进程的启动而启动,进行劫持浏览器,键盘记录等相关病毒行为。主动连接网络,开启本地端口,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以进行劫持浏览器,键盘记录,盗取用户敏感信息。
“后门”(Backdoor/Win32.Rbot.akfp) 威胁级别:★★★
该病毒为后门类,病毒运行后复制自身到系统目录,重命名为winamp.exe,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。创建自身进程winamp.exe,主动连接网络,开启端口,等待病毒控制端连接。该病毒通过恶意网站、其它病毒/木马下载传播,可以远程控制用户电脑,进行盗取用户敏感信息,发起拒绝服务(DDOS)攻击。
“记录间谍”(Trojan/Win32.KeyLogger.fjd[Spy]) 威胁级别:★★
病毒运行后衍生病毒文件到%Windir%目录下,衍生图片文件到%Windir%\temp下,用以迷惑用户;修改注册表添加启动项,使病毒文件随机启动;病毒运行后记录当前用户的键盘操作,保存到%Windir%目录下的winhlp32.hlp文件中;连接FTP服务器,将捕获的键盘数据发送到指定的目录。该病毒通过病毒作者向攻击目标的email地址发送邮件的方式进行传播。
“感染者”(Worm.Win32.Allaple.e[Net])威胁级别:★★
该病毒为蠕虫类病毒,病毒运行后调用API函数设置隐藏内存报错窗口,获取自身模块句柄动态加载“icmp.dll”系统库文件并获取多个API函数,创建互斥体防止病毒多次运行,创建多个线程,获取磁盘驱动器信息,判断磁盘类型是否是3,如果是3则分配一块内存并将磁盘驱动器名保存到分配的buffer中,接着创建一个线程将线程优先级设置为2,然后每隔1秒遍历一次保存在buffer中的磁盘下的所有文件,判断文件的后缀名是否为.htm和.html,找到之后将文件属性设置为存档,比较找到的.htm文件起始代码的第68个字节是否是和指定的代码相同,如果相同则调用,如果不同则说明没有被感染,则会将这68字节数据写入到.htm文件的文件头中,并将病毒自身随机拷贝为病毒名文件到找到的.htm文件的所在目录下,伪装成ActiveX组件,添加注册表病毒CLSID值启动项,该病毒文件利用windows漏洞传播自身,试图连接多个网站,溢出成功之后并试图尝试使用弱口令登陆目标计算机。
“IE劫持器”(Trojan/Win32.Agent.dxmg[Dropper]) 威胁级别:★★
该恶意代码文件为恶意广告类木马,病毒运行后修改注册表项隐藏桌面IE浏览器,并添加多处注册表项新建IE快捷方式,使打开IE连接到指定广告网站,创建多个病毒VBS脚本文件到系统目录下,在桌面创建多个URL快捷方式,强行安装世界之窗软件,以非法推广手段获取谋利。
“大话窃贼”(Trojan/Win32.Win32.WOW.zan[GameThief]) 威胁级别:★★
该恶意代码文件为大话西游2盗号木马,病毒运行后判断进程查找xy2.exe进程,找到之后强行结束该进程,打开注册表的ShellNoRoam\MUICache项枚举该键值下的所有值是否有\xy2.ex,如果找到之后则将%System32%目录下的ksuser.DLL文件拷贝一份命名为xy2woool.dll,衍生病毒DLL文件到病毒原体所在目录下,命名为xy2color.dll、xy2ksuser.dll并将文件属性设置为隐藏,遍历进程查找avp.exe、KVMonXP.exe,如果存在以上任意一个进程则衍生病毒DLL文件到临时目录下命名为dd2.dll,调用CMD命令使用rundll32.exe启动衍生的DLL文件,如果找不到则衍生随机病毒名DLL文件到%Temp%目录下并将文件属性设置为隐藏,试图将DLL注入到所有进程中,设置全局钩子截取游戏账号密码通过URL发送到作者指定的地址中。
“修改者木马”(Trojan/Win32.StartPage.aakn[Dropper])威胁级别:★★
该病毒为木马类,病毒运行后遍历进程,查找杀软相关进程并关闭;删除桌面上的IE浏览器图标,创建一个执行指定主页的网站,在系统目录下衍生病毒配置文件,修改host文件屏蔽部分网址导航网站并将其导航到指定页面;修改注册表添加启动项,修改ie浏览器的默认主页;连接指定的网站发送本地用户相关的信息。
“控制者”(Trojan/Win32.Inject.adpk) 威胁级别:★★
该恶意代码文件为后门类,该病毒做了加密处理,病毒运行后删除注册表的"Software\Microsoft\Active Setup\Installed Components\"键值下的{286B99E4-3C9B-25EF-D603-A78D81C73EED}键,并重新创建该项,并利用该项达到开机病毒自启动,创建病毒互斥体")!VoqA.I4",遍历进程查找"explorer.exe"进程,找到之后打开进程申请内存空间向该进程写入3342字节病毒数据,调用远程线程函数来执行被注入的病毒代码,病毒代码被执行后拷贝自身文件到%Systme32%目录下,开启一个iexplore.exe进程,若iexplore.exe进程被结束explorer.exe进程则会重新建立iexplore.exe进程,等待客户端做出消息响应。
“vb木马”(Trojan/Win32.VB.aeyw) 威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件。修改注册表,添加启动项,以达到随机启动的目的。添加防火墙规则到Windows Firewall授权软件列表,使病毒穿透防火墙不受阻挡。强行设置主页,修改hosts文件信息。主动连接网络,下载相关病毒文件信息。
“隐秘者”(Trojan/Win32.TDSS.bcpe[Rootkit])威胁级别:★★
该病毒运行之后,复制自身到%Temp%目录下,使用Rootkit技术在系统中隐藏自身行为,连接网络下载3个病毒文件(该病毒文件下载的文件可能随时间变化不定),将下载的病毒文件保存到%Temp%目录下,病毒运行完毕后删除自身文件。病毒会连接网络下载文件并运行。
“修改者木马”(Trojan/Win32.StartPage.zwz[Dropper]) 威胁级别:★★
该病毒为木马类,病毒运行后遍历进程,查找杀软相关进程并关闭;删除桌面上的IE浏览器图标,创建一个执行指定主页的网站,在系统目录下衍生病毒配置文件,修改host文件屏蔽部分网址导航网站并将其导航到指定页面;修改注册表添加启动项,修改ie浏览器的默认主页;连接指定的网站发送本地用户相关的信息。
“广告木马”(Trojan/VBS.StartPage.ez[Clicker]) 威胁级别:★★
恶意代码文件为恶意广告类木马,该病毒文件为包裹捆绑病毒文件,病毒运行后动态加载多个系统DLL文件来获取所需调用的函数,查找并调用指定的模板资源,创建一个模态对话框在临时文件目录下并释放多个病毒文件,调用VBS脚本来修改添加注册表项,判断注册表IE主页是否为已修改,如是则不执行批处理文件,如不是则执行批处理文件将执行注册信息导入注册表实现修改IE主页和隐藏桌面的Internet Explorer浏览器,实现将病毒的URL快捷方式文件拷贝到%System32%目录下并在桌面、开始菜单-程序内与桌面快速启动位置创建IE快捷方式,最后删除病毒自身的IEXPLORE.lnk、Internet Explorer.lnk文件。
“IE修改器”(Trojan/Win32.StartPage.zdf[Clicker]) 威胁级别:★★
该恶意代码文件为木马类,病毒运行后创建互斥量MutexName = "Q-$-EXE",以防止病毒多次运行产生冲突,创建一个线程通过检查注册表来确认是否安装QQ、迅雷等工具,并获取相应安装路径。遍历QQ的BIN目录查找TaskTray.dll文件,获取该文件的文件大小并比较文件大小是否是300000,如不是则删除%HOMEDRIVE%下的Q999.dll文件,并创建一个已经写入35328字节数据的新Q999.dll文件到%HOMEDRIVE%下,且将文件属性设置为隐藏。将BIN文件夹下的TaskTray.dll命名为Shareds.dll,将%HOMEDRIVE%下的Q999.dll病毒文件移动到BIN文件夹下命名为TaskTray.dll文件,动态获取大量API函数遍历进程查找QQ.EXE找到之后强行结束其进程。同样利用以上注册表查询迅雷的安装路径并获取迅雷目录下的mp.dll的文件大小,查找Shareds.dll文件并以该文件作为标志来判断是否已经被修改过,创建一个已经写入35328字节数据的新xlnnn.dll文件到%HOMEDRIVE%下,同样将xlnnn.dll替换成迅雷目录下的mp.dll,将mp.dll改名为Shareds.dll,再次遍历进程查找Thunder.exe找到之后结束该进程。在%HOMEDRIVE%下创建一个nyvdvm.lnk快捷方式文件、写入693字节数据,设置注册表将桌面的IE浏览器隐藏,同时将%HOMEDRIVE%下的nyvdvm.lnk快捷方式文件移动到桌面命名为Internet Explorer.lnk,调用Netbios函数获取本机MAC地址,隐藏开启iexplore.exe进程连接网络发送安装统计信息,病毒对QQ和迅雷的文件替换主要目是监视桌面上病毒创建的Internet Explorer.lnk,如发现被删除则会立即创建,这样达到无法正常删除的目的,当用户打开桌面IE浏览器时,将会跳转到病毒指定的广告网址。
“疯狂下载者”(Trojan/Win32.Patched.iv[Downloader]) 威胁级别:★★
该文件被感染式病毒所感染,感染病毒对该文件做了入口点代码修改,当用户打开被感染的文件后,先执行病毒代码,再执行正常文件的代码。执行病毒代码后切换到正常文件代码的过程:先分配临时空间,将病毒代码存放到该缓冲区内,在文件入口偏移10E处调用执行病毒代码,获取模块句柄,打开文件从文件尾部向上偏移938(2036)字节并除去正常文件的代码,然后保存到缓冲区里,将读出来的正常文件数据拷贝到入口点处覆盖掉病毒代码,创建一个线程最后跳到原入口点执行正常文件的代码,所创建的线程是运行病毒主要功能代码。在正常文件执行后,线程同时被激活,线程执行后动态加载多个系统DLL文件,遍历%System32%目录下是否存在arpcss.dll文件,如有则退出线程,如没有则找到该文件并连接网络用于下载病毒文件并将下载的病毒文件保存到临时目录下。
“IE修改者”( Trojan/Win32.StartPage.yhl) 威胁级别:★★
该病毒运行后,衍生病毒文件到%system32%与病毒当前目录下。添加注册表加载项以在重新启动系统后加载病毒体运行。之后会连接某地址下载病毒文件到本机运行。添加计划任务,以便定时运行,造成强行插入IE插件等影响,给用户带来不便。
“修改者木马”(Trojan/Win32.StartPage.ygk[Dropper]) 威胁级别:★★
该病毒为木马类,病毒运行后遍历进程,查找杀软相关进程并关闭;删除桌面上的IE浏览器图标,创建一个执行指定主页的网站,在系统目录下衍生病毒配置文件,修改host文件屏蔽部分网址导航网站并将其导航到指定页面;修改注册表添加启动项,修改ie浏览器的默认主页;连接指定的网站发送本地用户相关的信息。
“木马下载者”(Trojan/Win32.Patched.iv[Downloader]) 威胁级别:★★
该文件被感染式病毒所感染,感染病毒对该文件做了入口点代码修改,当用户打开被感染的文件后,先执行病毒代码,再执行正常文件的代码。执行病毒代码后切换到正常文件代码的过程:先分配临时空间,将病毒代码存放到该缓冲区内,在文件入口偏移10E处调用执行病毒代码,获取模块句柄,打开文件从文件尾部向上偏移938(2036)字节并除去正常文件的代码,然后保存到缓冲区里,将读出来的正常文件数据拷贝到入口点处覆盖掉病毒代码,创建一个线程最后跳到原入口点执行正常文件的代码,所创建的线程是运行病毒主要功能代码。在正常文件执行后,线程同时被激活,线程执行后动态加载多个系统DLL文件,遍历%System32%目录下是否存在arpcss.dll文件,如有则退出线程,如没有则找到该文件并连接网络用于下载病毒文件并将下载的病毒文件保存到临时目录下。
“网络僵尸”(Backdoor/Win32.Rbot.kti)威胁级别:★★
该病毒文件为僵尸后门类,该病毒对数据资源进行了加密处理,病毒运行后查找标题为"The Wireshark Network Analyzer"(抓包工具)的窗口,找到之后向该窗口发送WM_CLOSE消息并关闭该窗口,遍历进程查找filemon.exe、regmon.exe、procmon.exe相关进程,找到含有以上进程后病毒则退出,遍历进程,查找并结束Ollydbg.exe进程,创建病毒进程,读取病毒创建进程的基址,申请内存空间,将病毒数据写入到创建的进程内存当中,调用函数恢复进程线程句柄使进程正常运行,将自身文件拷贝到临时目录下运行,遍历进程查找多款安全软件进程找到后将其结束,连接网络请求多个网页数据下载病毒文件到本地并隐藏运行。
“传播者”(Trojan/Win32.Patched.iv[Downloader]) 威胁级别:★★
该文件被感染式病毒所感染,感染病毒对该文件做了入口点代码修改,当用户打开被感染的文件后,先执行病毒代码,再执行正常文件的代码。执行病毒代码后切换到正常文件代码的过程:先分配临时空间,将病毒代码存放到该缓冲区内,在文件入口偏移10E处调用执行病毒代码,获取模块句柄,打开文件从文件尾部向上偏移938(2036)字节并除去正常文件的代码,然后保存到缓冲区里,将读出来的正常文件数据拷贝到入口点处覆盖掉病毒代码,创建一个线程最后跳到原入口点执行正常文件的代码,所创建的线程是运行病毒主要功能代码。在正常文件执行后,线程同时被激活,线程执行后动态加载多个系统DLL文件,遍历%System32%目录下是否存在arpcss.dll文件,如有则退出线程,如没有则找到该文件并连接网络用于下载病毒文件并将下载的病毒文件保存到临时目录下。
“QQ盗号木马”(Trojan/Win32.QQPass.shf[GameThief]) 威胁级别:★★
该恶意代码文件为QQ盗号木马,病毒运行后查找类名为“g”,标题为“2”的窗口,删除%Documents and Settings%\当前用户\Application Data\目录下的Dg32.bak文件,并衍生Dg32.bak、Dbg.Sys、Dbg.New病毒文件到该目录下,病毒创建一个X=0,Y=0,类名为:Edit,标题为:DT4TRTDTT的隐藏窗口,动态加载病毒衍生的Dbg.Sys文件,获取并调用该病毒文件的"InitDll"、"FreeDll"模块,"InitDll"模块设置成HOOK全局钩子,以便截取QQ账号密码,添加注册表项,试图将病毒文件注入到所有进程中,Dbg.Sys病毒文件判断自身是否被注入在Qq.exe、Explorer.exe、VerclsId.exe、iexplore.exe,如不是则退出,如是则将自身拷贝一份命名为Dg32.Tmp。病毒DLL被加载之后创建2个线程,反制QQ安全中心,释放病毒驱动文件到%System32%\drivers\目录下,命名为dHook.sys,查找类名为"TXGuiFoundation",标题为“放弃清除提示”、qq安全中心的窗口,找到后发送WM_KEYDOWN按键点击消息,被感染的用户会被病毒作者窃取QQ账号密码并以URL方式发送到作者指定的地址中。
“伪装者”(Trojan/Win32.Scar.bzal)威胁级别:★★
病毒运行后,释放一个伪装的系统文件到系统文件夹下,并删除木马自身。该文件用以伪装Windows系统的帮助文件,并设置该文件属性为系统隐藏的属性,使得一般用户难以察觉。程序运行后,会调用services.exe加载自身为服务项,然后通过修改和调用svchost.exe进程,访问远程服务器,伺机接受远程指令,下载更多恶意程序到受感染计算机,给计算机安全造成重大隐患。
“代理下载者”(Trojan/Win32.Agent.dkle[Downloader]) 威胁级别:★★
该病毒属木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身;修改注册表,添加启动项,以达到随机启动的目的;连接网络,下载大量病毒文件到本机运行,该病毒的部分版本下载的文件可引起DNS欺骗。
“霸族变种”(Trojan/Win32.Buzus.dhzq) 威胁级别:★★
该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找内存空间地址,并比较,申请内存空间将病毒代码写入到内存空间,在进程中创建线程释放病毒文件到%System32%目录下,修改注册表使系统文件达到启动病毒的目的,连接网络。
记录间谍”(Trojan/Win32.KeyLogger.dzq[Spy])威胁级别:★★
该病毒图标为jpg格式文件图标;该文件是由一个图片文件和一个病毒文件用winrar组成的自解压复合文件;病毒运行后衍生病毒文件到%Windir%目录下,衍生图片文件到%Windir%\temp下,用以迷惑用户;修改注册表添加启动项,使病毒文件随机启动;病毒运行后记录当前用户的键盘操作,保存到%Windir%目录下的winhlp32.hlp文件中;连接FTP服务器,将捕获的键盘数据发送到指定的目录。该病毒通过病毒作者向攻击目标的email地址发送邮件的方式进行传播。
“捆绑者”(Trojan/Win32.Ekafod.q[Dropper]) 威胁级别:★★
病毒运行后获取系统时间来作为衍生的随机病毒文件名,添加病毒注册表启动项,遍历进程查找"ravmond.exe"进程,衍生多个病毒DLL文件到%System32%目录下,检测%System32%\dllcache目录下是否存在该DLL文件如不存在则衍生相同文件到该目录下,检测D盘下是否存在ssshall目录,如不存在则创建,并将创建的目录属性设置为隐藏,调用regsvr32 /s注册病毒衍生的DLL组件,调用rundll32.exe隐藏安装病毒DLL文件,衍生病毒EXE文件到System32%目录下并命名为Dofake.exe,将D盘下所有文件夹设置为隐藏,并将所有文件夹名字记录下来,将除系统盘外所有磁盘的根目录下所有文件夹属性设置为隐藏,再创建以文件夹名字命名的.exe文件,使用户不被发现,当用户双击打开文件夹时先执行病毒文件之后病毒文件调用EXPLORER.EXE资源管理器方式再打开真正的文件夹,被感染的机器连接网络在后台隐藏打开多个恶意连接。
“间谍木马”(Trojan/Win32.Zbot.agnp[SPY]) 威胁级别:★★
病毒运行后,复制自身到%System32%目录下,在该目录下衍生多个文件;修改注册表,使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中;将病毒主体添加到卡巴斯基反病毒软件的信任区域;为卡巴斯基添加新规则开放最大权限;绕过金山反病毒软件的主动防御;病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行,从而盗取或控制用户的计算机。
“魔兽窃贼”(Trojan/Win32.Vilsel.xbd[Downloader]) 威胁级别:★★
病毒运行之后动态获取多个API函数,在临时目录下释放一个*.tmp临时文件,调用regsvr32.exe系统文件将病毒释放在临时目录下的文件注册为Windows链接库和ActiveX控件并加载已释放的病毒文件,病毒运行完毕之后删除自身文件,被加载的病毒文件执行命令后拷贝%System32%目录下的msvcp50.dll为msvcp60.dll文件,并对该进程进行提权操作,判断自身进程是否是regsvr32与svchost.exe进程,拷贝自身到%System32%目录下的并命名为:rpcss.dll~951531,添加注册表启动项,将%System32%目录下的rpcss.dll命名为rpcss.dll1248234,再将病毒DLL文件命名成rpcss.dll以达到伪装成系统文件的目的,开启一个SVCHOST.EXE进程将病毒DLL注入到该进程中,被感染的用户会被执行下载恶意病毒文件、控制计算机截取敏感账号密码等操作。
“控制者”(Backdoor/Win32.Bifrose.clcp)威胁级别:★★
该病毒为客户端,根据用户要求,能生成包括DNS服务器、打开的远程端口、C/S验证口令、安装目录、启动注册表键值,是否注射进程等功能的服务端。该病毒运行后,衍生病毒副本到系统目录%windows%或%System32%下,添加注册表启动项,以便在系统启动后运行,使受感染主机可能被运行有害程序。
“霸族变种”(Trojan/Win32.Buzus.dnwi) 威胁级别:★★
该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找内存空间地址,并比较,申请内存空间将病毒代码写入到内存空间,在进程中创建线程释放病毒文件到%System32%目录下,修改注册表使系统文件达到启动病毒的目的,连接网络。
“间谍木马”(Trojan/Win32.Zbot.ahcf[SPY]) 威胁级别:★★
病毒运行后,复制自身到%System32%目录下,在该目录下衍生多个文件;修改注册表,使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中;将病毒主体添加到卡巴斯基反病毒软件的信任区域;为卡巴斯基添加新规则开放最大权限;绕过金山反病毒软件的主动防御;病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行,从而盗取或控制用户的计算机。
“伪装者”(Trojan/Win32.Scar.bvoj) 威胁级别:★★
病毒运行后,释放一个伪装的系统文件到系统文件夹下,并删除木马自身。该文件用以伪装Windows系统的帮助文件,并设置该文件属性为系统隐藏的属性,使得一般用户难以察觉。程序运行后,会调用services.exe加载自身为服务项,然后通过修改和调用svchost.exe进程,访问远程服务器,伺机接受远程指令,下载更多恶意程序到受感染计算机,给计算机安全造成重大隐患。
“游戏窃取者”(Trojan/Win32.Vilsel.ogc[GameThief])威胁级别:★★
该恶意代码文件为梦幻诛仙游戏盗号木马,病毒运行之后在%System32%\drivers目录下创建bmtpws31.dat文件并将病毒作者回传地址及账户信息存放在该文件中,一旦截取到游戏账号和密码则读取该文件中的地址以URL或邮件方式上传到作者指定的地址中,衍生kb****.dll(*号为随机数字)和wsconfig.db文件到%System32%目录下,删除临时目录下的~t12.tmp和~23.tmp文件,拷贝系统imm32.dll文件到临时目录下命名为~t12.tmp并在文件尾部添加一个节名为.ss32,并向该节写入850字节数据修改文件的入口点,拷贝%System32%目录下的imm32.dll改名为imm32.dll.bak,先动态加载一下imm32.dll然后再释放,动态加载sfc_os.dll系统文件,调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护,然后将修改过的imm32.dll拷贝到%System32%目录下替换系统的imm32.dll文件,以达到加载imm32.dll文件来执行病毒代码的目的,遍历进程查找gameclient.exe进程找到之后强行结束该进程,释放BAT批处理文件删除病毒自身文件,将病毒DLL文件注入到conime.exe进程中,病毒DLL文件被注入后创建互斥量M_1484_-1,创建2个线程对比游戏内存16字节数据是否匹配(E621582CC93BB589D16F67488F61D582),如果匹配到,则再次对游戏进程的模块进行对比139字节数据并将匹配后的模块地址保存起来,以上条件成立后则获取当前窗口的坐标并截取下当前窗口作为.\tmpimg.bmp保存到病毒所在目录下以获取密保之类的信息,读取游戏目录下的.\wtf\serveraddr.ini配置文件获取游戏账号所在服务器相关信息,通过内存定位截取游戏账号密码将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中。
“隐秘者”(Trojan/Win32.TDSS.axzy[Rootkit]) 威胁级别:★★
该病毒运行之后,复制自身到%Temp%目录下,使用Rootkit技术在系统中隐藏自身行为,连接网络下载3个病毒文件(该病毒文件下载的文件可能随时间变化不定),将下载的病毒文件保存到%Temp%目录下,病毒运行完毕后删除自身文件。病毒会连接网络下载文件并运行。
“骗取者”(Trojan/Win32.QQPass.rrf[stealer])威胁级别:★★
该病毒运行后,创建窗体,调用系统API函数将窗口最小化到托盘,获取注册表QQ安装位置,添加启动项;释放加密文件到系统根目录下,读取内容后将其删除;修改系统host文件,使访问腾讯官方网站、深圳市公证处网站指向恶意网站;遍历系统进程,反制反病毒软件;该病毒运行一定时间后会在系统托盘图标假冒腾讯信息提示,如果双击该提示会显示假冒的腾讯系统消息,并要求用户点击查看详细信息进入恶意网站hxxp://www.qq.com.qkisc.cn/。此网站为钓鱼网站。
“记录间谍”(Trojan/Win32.KeyLogger.bsx[Spy]) 威胁级别:★★
该病毒图标为jpg格式文件图标;该文件是由一个图片文件和一个病毒文件用winrar组成的自解压复合文件;病毒运行后衍生病毒文件到%Windir%目录下,衍生图片文件到%Windir%\temp下,用以迷惑用户;修改注册表添加启动项,使病毒文件随机启动;病毒运行后记录当前用户的键盘操作,保存到%Windir%目录下的winhlp32.hlp文件中;连接FTP服务器,将捕获的键盘数据发送到指定的目录。该病毒通过病毒作者向攻击目标的email地址发送邮件的方式进行传播。
“间谍木马”(Trojan/Win32.Zbot.agnw[SPY]) 威胁级别:★★
病毒运行后,复制自身到%System32%目录下,在该目录下衍生多个文件;修改注册表,使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中;将病毒主体添加到卡巴斯基反病毒软件的信任区域;为卡巴斯基添加新规则开放最大权限;绕过金山反病毒软件的主动防御;病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行,从而盗取或控制用户的计算机。
“捆绑木马”(Trojan/Win32.Agent.ahwr[Dropper])威胁级别:★★
该病毒为木马类病毒,病毒运行后,创建进程加载病毒DLL文件,添加注册表启动项,创建相应快捷方式文件到桌面,将病毒dll文件注入到Explorer.exe进程中,调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下,病毒DLL文件主要行为:当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载,当用户选择“是”则会连接网络下载文件,当用户选择“否”则会弹出一个网页模拟本地磁盘,显示存在的威胁数量并提示用户是否下载扫描器,严重影响用户对本地磁盘的正常浏览。
“IE修改者”(Trojan/Win32.StartPage.gd[Dropper]) 威胁级别:★★
该病毒运行后,衍生病毒文件到%system32%与病毒当前目录下。添加注册表加载项以便在重新启动系统后加载病毒体运行。之后会连接某地址下载病毒文件到本机运行。添加计划任务,以便定时运行,造成强行插入IE插件等影响,给用户带来不便。
“QQ欺骗者”(Trojan/Win32.QQFish.gb[PSW]) 威胁级别:★★
病毒运行后,衍生文件到系统目录下,并创建互斥体防止进程中多个病毒实例运行,修改注册表,添加开机启动项,修改host文件,目的劫持指定网站ip,使此网站无法正常访问,映像劫持多个安全软件,弹出假的qq信息对话框,提示用户已经中毒,需要到指定网址下载专杀工具,并且此网站为作者设计的钓鱼网站,要求用户输入手机号码,用户名字等信息。
“控制者”(Backdoor/Win32.Bifrose.cgpv)威胁级别:★★
该病毒为客户端,根据用户要求,能生成包括DNS服务器、打开的远程端口、C/S验证口令、安装目录、启动注册表键值,是否注射进程等功能的服务端。该病毒运行后,衍生病毒副本到系统目录%windows%或%System32%下,添加注册表启动项,以便在系统启动后运行,使受感染主机可能被运行有害程序。
“骗取者”(Trojan/Win32.QQPass.qhy[stealer]) 威胁级别:★★
该病毒运行后,创建窗体,调用系统API函数将窗口最小化到托盘,获取注册表QQ安装位置,添加启动项;释放加密文件到系统根目录下,读取内容后将其删除;修改系统host文件,使访问腾讯官方网站、深圳市公证处网站指向恶意网站;遍历系统进程,反制反病毒软件;该病毒运行一定时间后会在系统托盘图标假冒腾讯信息提示,如果双击该提示会显示假冒的腾讯系统消息,并要求用户点击查看详细信息进入恶意网站hxxp://www.qq.com.qkisc.cn/。此网站为钓鱼网站。
“侵染者”(Virus/Win32.Small.w) 威胁级别:★★
该病毒运行后复制自身到系统目录,衍生病毒文件。修改注册表,添加启动项,以达到随机启动的目的。以CreateMutexA创建互斥体Angry Angel v3.0,防止多个病毒体重复运行。感染各个逻辑驱动器下的exe文件,在exe文件中增加最后一个节的大小,写入病毒,并修改该节的虚拟大小,原始大小与节属性等。尝试访问相关网站下载其它恶意程序。
“修改者木马”(Trojan/Win32.StartPage.df[Dropper])威胁级别:★★
该病毒为木马类,病毒运行后遍历进程,查找杀软相关进程并关闭;删除桌面上的IE浏览器图标,创建一个执行指定主页的网站,在系统目录下衍生病毒配置文件,修改host文件屏蔽部分网址导航网站并将其导航到指定页面;修改注册表添加启动项,修改ie浏览器的默认主页;连接指定的网站发送本地用户相关的信息。
“BHO-流氓者”(Trojan/Win32.BHO.adgx) 威胁级别:★★
BHO是微软推出的作为浏览器对第三方程序员开放交互接口的业界标准,通过简单的代码就可以进入浏览器领域的“交互接口”。但这个技术被黑客利用上了之后,就变成了恶意代码的构造手段。该病毒为BHO木马,病毒运行后衍生病毒文件到系统目录下。修改注册表,添加启动项以达到启动的目的。启动后进行劫持浏览器,键盘记录等相关病毒行为。还可主动连接网络,下载相关病毒文件。建议用户常用浏览器检测工具对当前使用的浏览器进行安全检测,以防止恶意的BHO插件。
“偷取者”(Trojan/Win32.BHO.adio) 威胁级别:★★
该病毒为木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。病毒的dll文件随IEXPLORER.EXE进程的启动而启动,进行劫持浏览器,键盘记录等相关病毒行为。主动连接网络,开启本地端口,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以进行劫持浏览器,键盘记录,盗取用户敏感信息。
“控制者”(Trojan/Win32.KillAV.bkx[Dropper])威胁级别:★★
该恶意代码文件为灰鸽子变种后门类木马,病毒运行后创建dll843.dll文件到临时目录下,创建完成后动态加载该病毒DLL文件,释放批处理文件到临时目录下,用于删除病毒原文件,病毒DLL被加载之后判断自身文件路径是否在%System32%目录下,如不是则创建beep.sys到%System32%\drivers目录下替换系统现有的文件来躲避安全软件的主动防御查杀,遍历进程查找AVP.EXE找到后试图强行结束该进程,添加注册表病毒服务启动项,将自身DLL拷贝到%System32%目录下,开启svchost.exe进程将病毒DLL注入到进程中并创建一个线程向病毒作者地址发送数据,感染的计算机会被病毒作者完全操控。
“霸族变种”(Trojan/Win32.Buzus.czmo) 威胁级别:★★
该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找内存空间地址,并比较,申请内存空间将病毒代码写入到内存空间,在进程中创建线程释放病毒文件到%System32%目录下,修改注册表使系统文件达到启动病毒的目的,连接网络。
“诛仙木马”(Trojan/Win32.Magania.gen[GameThief]) 威胁级别:★★
该恶意代码文件为诛仙游戏盗号木马,病毒运行后遍历进程查找"elementclient.exe"进程,找到之后强行结束该进程,遍历进程查找avp.exe、kvmonxp.exe进程,如果存在以上2个进程将比较自身文件名是否为"RV00458.tmp",如不是则拷将自身到命名为"RV00458.tmp"然后退出进程,如果找不到以上2个安全软件进程则衍生病毒DLL文件到临时目录下,将文件属性设置为隐藏,动态加载病毒DLL文件,获取调用病毒DLL的"zhko"模块来设置安装消息钩子,病毒DLL被加载之后判断DLL文件是否在EXPLORER.EXE、elementclient.exe进程中,如果是就安装消息钩子创建互斥"czxasdfgh",防止多次运行,利用全局钩子截取游戏账号及密码,通过URL方式发送到病毒作者指定地址中。
“广告木马”(Trojan/VBS.StartPage.dv[Clicker]) 威胁级别:★★
恶意代码文件为恶意广告类木马,该病毒文件为包裹捆绑病毒文件,病毒运行后动态加载多个系统DLL文件来获取所需调用的函数,查找并调用名为"RTL"、类型为RT_DIALOG的模板资源,创建一个模态对话框在%TEMP%目录下并释放多个病毒文件,调用VBS脚本来修改添加注册表项,判断注册表IE主页是否为“http://www.109***.com”如是则不执行1.bat,如不是则执行1.bat将1.reg导入注册表实现修改IE主页和隐藏桌面的Internet Explorer浏览器,再运行a.bat来实现将病毒的URL快捷方式文件拷贝到%System32%目录下并在桌面、开始菜单-程序内与桌面快速启动位置创建IE快捷方式,最后删除病毒自身的IEXPLORE.lnk、Internet Explorer.lnk文件。
“代理木马”(Trojan/Win32.Agent.cnam) 威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,并重命名,衍生病毒文件,并删除自身。修改注册表,添加服务项,以达到随机启动的目的。删除注册表中的服务项,修改注册表项以关闭错误报告。主动连接网络,更新病毒文件,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。
“修改者”(Trojan/Win32.StartPage.cjh[Clicker])威胁级别:★★
该恶意代码文件为恶意广告类木马,病毒运行后创建注册表项,弹出消息框(检测到您的系统设置与播放器有冲突!请点击桌面高清电影开始激情体验)的提示,调用iexplore.exe弹出一个广告链接网址,遍历C:\Documents and Settings\a\「开始」菜单\程序目录下是否存在*.url、*.lnk文件,如有则删除,创建一个Internet Explorer快捷方式到该目录下修改目标位置为:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.74***.com/?zzp使其打开时弹出指定的广告网址,创建多个*.url、*.lnk文件快捷方式到桌面,添加多个广告网址到IE浏览器的收藏夹内,修改注册表隐藏桌面上的Internet Explorer浏览器的右键菜单项,修改360安全浏览器的配置文件改为病毒指定的广告网址,试图创建修改%Documents and Settings%\a\Application Data\文件夹内的火狐浏览器、TT浏览器的配置文件的主页改为病毒指定的广告地址,创建多个.ico文件图标到%System32%目录下来设置病毒在桌面创建的.lnk文件的图标,修改注册表项创建3个.lnk文件到桌面使其无法正常删除。
“灰鸽子”(Backdoor/Win32.Hupigon.drek) 威胁级别:★★
该病毒文件为后门类木马,病毒运行后用LOAD资源加密信息,该加密信息包括(上线IP地址、端口、衍生的文件名及要注入的进程、服务名等),创建互斥量,名为:yataghanfuckyoumother09防止病毒多次运行造成冲突,拷贝自身到%Windir%目录下并命名为:yataghan.exe,添加注册表服务启动项,开启一个IEXPLOER.EXE进程并将病毒代码注入到该进程中通过连接网络进行通信,病毒运行后删除自身文件。控制者对感染的用户进行剪切、复制、拷贝、删除、视频监控、语音监听等恶意操控。
“大话木马”(Trojan/Win32.WOW.vno[Stealer]) 威胁级别:★★
该病毒文件为大话西游游戏盗号木马,病毒运行后创建t322025.ini到%System32%目录下,衍生随机病毒名文件到临时目录下,遍历进程查找AVP.EXE进程,如果进程存在则拷贝rundll32.exe一份重命名为t322025.exe,调用CMD命令使用被重命名的t322025.exe文件(原文件名rundll32.exe)来启动临时目录下的病毒文件,如进程不存在则直接使用rundll32.exe启动临时目录下的病毒文件,临时目录下的病毒文件被启动后对进程进行提权操作,判断自身进程是否为svchost.exe,如不是则退出,如是则衍生病毒DLL文件到%System32%目录下,拷贝rpcss.dll系统文件为t3rpcss.dll,将病毒DLL文件注入到EXPLORER.EXE进程中,病毒DLL查找含有大话西游标题和xy2_ex.exe进程的窗口,安装消息钩子截取游戏账号密码通过URL方式将账号信息发送到作者指定的地址中。
“控制者”(Trojan/Win32.Agent.yep[Dropper])威胁级别:★★
该病毒文件为后门类木马,病毒运行后查找名为DVCLAL内的DLL类型的资源,找到后Load该资源信息,在病毒当前目录下衍生病毒DLL文件并将属性设置为隐藏,Load病毒DLL文件,调用病毒DLL的Install模块,遍历进程查找AVP.EXE找到后加载sfc_os.dll文件去掉对beep文件的修改提示,先将系统的beep.sys文件改名为beep.sys.tep释放beep.sys驱动文件到%drivers%目录下替换现有的文件,改驱动文件恢复SSDT绕过卡巴斯基主动防御,比较自身DLL进程路径是否为%System32%目录下的winnet.dll文件,如不是则将自身拷贝到该目录下命名成winnet.dll,添加注册表服务启动项,开启一个SVCHOST.EXE进程将病毒代码注入到该进程中连接网络进行通信,被控制的计算机会被控制者完全控制,病毒运行完毕后删除自身原文件。
“欺骗者”(Trojan/Win32.StartPage.cjh[Clicker]) 威胁级别:★★
该恶意代码文件为恶意广告类木马,病毒运行后创建注册表项,弹出消息框(“检测到您的系统设置与播放器有冲突!请点击桌面高清电影开始激情体验”)的提示,调用iexplore.exe弹出一个广告链接网址,遍历C:\Documents and Settings\a\「开始」菜单\程序目录下是否存在*.url、*.lnk文件,如有则删除,创建一个Internet Explorer快捷方式到该目录下修改目标位置为:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.74***.com/?zzp使其打开时自动访问指定的广告页面,创建多个*.url、*.lnk文件快捷方式到桌面,添加多个广告网址到IE浏览器的收藏夹内,修改注册表隐藏桌面Internet Explorer浏览器的右键菜单项,修改360安全浏览器的配置文件,使其网络连接地址指向病毒指定的广告网址,试图创建修改%Documents and Settings%\a\Application Data\文件夹内的火狐浏览器、TT浏览器的配置文件,使主页默认为病毒指定的广告地址,创建多个.ico文件图标到%System32%目录下,使病毒在桌面的.lnk文件显示指定的图标,修改注册表项创建3个.lnk文件到桌面使其无法正常删除。
“广告木马”(Trojan/Win32.Agent.cyaf[Downloader]) 威胁级别:★★
该病毒为广告弹窗木马,病毒运行后创建互斥量名为"mutex_cpa_.la",调用函数关闭Intemet连接、共享和防火墙服务,在D盘创建Winup目录,删除%Program Files%目录下的nowlist.dat文件,连接网络读取列表将列表保存到%Program Files%目录下命名为nowlist.dat,扫描nowlist.dat文件开头字串是否为“嘿嘿,这是标头哦”,如果不是则重新连接网络读取,如是将查找到的进程进行判断,看是否是网吧机器,如果是网吧机器则向病毒作者服务器提交数据,如不是网吧机器则将本机的MAC地址提交到病毒作者的服务器,创建注册表项,根据nowlist.dat文件连接网络下载并安装BHO插件,劫持IE浏览器,自动弹出广告,由于病毒作者服务器无法连接所以无法分析其下载的样本数量。
“捣毁者”(Worm/Win32.AutoIt.r) 威胁级别:★★
该病毒运行后,获取kernel32.dll基址,动态获取大量API函数地址,动态加载系统库文件uxtheme.dll,调用该库文件的"IsThemeActive"函数,获取系统版本号,动态加载系统库文件kernel32.dll,调用该库文件的IsWow64Process函数,查看操作系统是32位还是64位,获取系统版本信息之后释放到kernel32.dll,试图更改桌面壁纸,检测是否被处理调试状态,如果是则调用MessageBox弹出以下信息:"This is a compiled AutoIt script.AV researchers please email avsupport@autoitscript.com for support.",调用SHGetDesktopFolder函数获得桌面文件夹的IShellFolder接口,注册一个窗口类名"AutoIt v3 GUI"及消息句柄"TaskbarCreated",完成之后创建隐藏的窗口,调用函数创建一个WORD图标的托盘,调用函数进入消息循环一直到接收到WM_NULL则跳出循环,拷贝自身到%System32%目录下备份多个病毒副本,分别重命名为fjwfbnyobd.exe、bomlfdbivbryevg.exe、iabzajxe.exe、ogwcoyjfpfnjn.exe(全部为随机病毒名),并将属性全部隐藏,在%System32%目录下创建一个名为mydoc.rtf的WORD文件,调用函数创建大量病毒进程,循环打开多个mydoc.rtf文件,使系统速度大大下降,该病毒一旦运行之后将无法结束其进程直到系统资源耗尽导致死机。
“魔兽窃贼”(Trojan/Win32.OnLineGames.vwho[Stealer]) 威胁级别:★★
该病毒文件为魔兽世界游戏盗号木马,病毒运行后创建t329076.ini到%System32%目录下,衍生随机病毒名文件到临时目录下,遍历进程查找AVP.EXE进程,如果进程存在则拷贝rundll32.exe一份重命命名为t329076.exe,调用CMD命令使用被重命名的t329076.exe文件(原文件名rundll32.exe)启动临时目录下的病毒文件,如进程不存在则直接使用rundll32.exe启动临时目录下的病毒文件,临时目录下的病毒文件被启动后对进程进行提权操作,判断自身进程是否为svchost.exe,如不是则退出,如是则衍生病毒DLL文件到%System32%目录下,拷贝rpcss.dll系统文件为t3rpcss.dll,将病毒DLL文件注入到EXPLORER.EXE进程中,病毒DLL查找含有魔兽世界标题和wow.exe进程的窗口,安装消息钩子截取游戏账号密码通过URL方式将账号信息发送到作者指定的地址中。
“感染者”(Virus/Win32.Virut.ce) 威胁级别:★★
病毒运行后复制自身到各驱动器根目录下(除系统盘根目录)并衍生配置文件,实现双击盘符运行病毒。在%ProgramFiles%目录和部分附属目录下复制自身并衍生病毒文件;修改注册表,添加启动项,对大量反病毒工具和软件映像劫持,锁定对隐藏文件的显示,使用户无法通过文件夹选项显示隐藏文件;禁用系统防火墙服务、自动更新服务、入侵保护服务、帮助服务;删除注册表中安全模式启动需要加载的驱动文件,使用户无法进入安全模式;开启自动播放功能,感染连接到中毒机器的移动磁盘;该病毒会自动关闭标题栏中含有指定字符的窗口或文件;该病毒主要通过移动磁盘进行传播。
“灰鸽子变种”(Backdoor/Win32.Agent.pv) 威胁级别:★★
该恶意代码文件为灰鸽子变种后门类木马,病毒运行后Load资源加密信息,包括病毒要衍生的目录、名称、上线IP地址、端口、服务名等信息,判断自身文件名是否为IEXPLORE.EXE名,如果不是则判断自身文件路径是否为%Windir%\Hacker.com.cn.exe路径下的文件,如是则退出,如不是则创建互斥量防止病毒多次运行,遍历%Windir%目录查找Hacker.com.cn.exe文件是否存在,如果存在则退出!不存在则拷贝自身到该目录下,并将文件属性设置为隐藏,创建病毒注册表服务以服务方式启动病毒,添加注册表RUN启动项,弹出信息提示框(灰鸽子远程控制服务端安装成功!)的提示信息,衍生批BAT处理文件用于删除病毒源文件,开启一个IEXPLORE.EXE进程连接网络进程通信,被感染的用户电脑将被自动开启socks与HTTP代理,感染的计算机会被作者完全操控。
“魔兽窃贼”(Virus/Win32.Daum.a) 威胁级别:★★
该文件是被病毒感染后的文件。该病毒为感染式病毒,病毒通过修改导入表的方式使被感染文件在调用某一个动态链接库的时候将首先执行病毒代码,执行完毕后将转到正常调用的函数的代码。病毒的代码将向资源管理器进程中注入远程线程,检测窗口类名称为“TibiaClient”的窗体,读取进程内部的内存数据。
“代理木马”(Trojan/Win32.Agent.bqou)威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,并重命名,衍生病毒文件,并删除自身。修改注册表,添加服务项,以达到随机启动的目的。删除注册表中的服务项,修改注册表项以关闭错误报告。主动连接网络,更新病毒文件,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。
“魔兽窃贼”(Trojan/Win32.Agent.dczu[Stealer]) 威胁级别:★★
该恶意代码文件为魔兽世界游戏盗号木马,病毒运行后判断注册表内是否存在要查询的键值,遍历进程查找wow.exe进程,如找到则遍历进程先查找avp.exe如果找不到则查找KVMonXP.exe进程,如果找到avp.exe后休眠2000ms后判断自身文件进程是否是临时目录下的TW9454.tmp路径文件,如不是则将自身移动到临时目录下并命名为TW9454.tmp,之后退出,如果找到KVMonXP.exe进程后试图拷贝%System32%目录下的lpk.dll命名为syslpk.dll后将病毒自身替换为lpk.dll文件(未成功失败),伪装成系统DLL文件来躲避安全软件的查杀,如果2个进程都找不到则衍生病毒DLL文件直接到临时目录下命名为wfsjowfdsaw.dll,并动态加载该病毒DLL文件,通过病毒DLL文件安装消息钩子截取游戏账号密码,试图将病毒DLL文件注入到所有进程中,并将自身拷贝到临时目录下并命名为TW9454.tmp,将截图到的账号信息以URL方式发送到作者指定的地址中。
“间谍木马变种addz”(Trojan/Win32.Zbot.addz[SPY])威胁级别:★★
病毒运行后,复制自身到%System32%目录下,在该目录下衍生多个文件;修改注册表,使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中;将病毒主体添加到卡巴斯基反病毒软件的信任区域;为卡巴斯基添加新规则开放最大权限;绕过金山反病毒软件的主动防御;病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行,从而盗取或控制用户的计算机。
“vb木马yxt”(Trojan/Win32.VB.yxt[Dropper]) 威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件。修改注册表,添加启动项,以达到随机启动的目的。添加防火墙规则到Windows Firewall授权软件列表,使病毒穿透防火墙不受阻挡。强行设置主页,修改hosts文件信息。主动连接网络,下载相关病毒文件信息。
“控制者”(Backdoor/Win32.Hupigon.jdmi)威胁级别:★★
该病毒为灰鸽子变种,病毒运行后复制自身到系统目录,重命名为widows.exe,并删除自身。创建服务,以服务的方式达到随机启动的目的。连接网络下载远程控制端IP地址,主动尝试上线。上线成功后,远程控制端能够对用户机器进行键盘记录,屏幕监控,摄像头抓图,文件操作,进程操作等远程控制。
“偷取者木马”(Trojan/Win32.Sasfis.vbw) 威胁级别:★★
病毒运行后释放随机病毒名文件*.tmp到临时目录下,动态加载E.tmp病毒文件,调用该文件的hfburt模块,该模块代码进行了加密处理,该模块被调用后开启一个svchost.exe进程,拷贝E.tmp到%System32%目录下命名为wdni.buo,并将wdni.buo添加到被开启的svchost.exe中,修改注册表使用rundll32.exe为开机启动衍生的rundll32.dll病毒,病毒运行完后删除自身文件。
“修改者木马faf”(Trojan/Win32.StartPage.faf[Dropper])威胁级别:★★
该病毒为木马类,病毒运行后遍历进程,查找杀软相关进程并关闭;删除桌面上的IE浏览器图标,创建一个执行指定主页的网站,在系统目录下衍生病毒配置文件,修改host文件屏蔽部分网址导航网站并将其导航到指定页面;修改注册表添加启动项,修改ie浏览器的默认主页;连接指定的网站发送本地用户相关的信息。
“DNF偷取者”(Trojan/Win32.Vilsel.mry[GameThief]) 威胁级别:★★
该恶意代码文件为DNF游戏盗号木马,该病毒文件为初始化后病毒数据,以获取本地系统时间作为随机值来创建以kb****.dll的随机病毒名文件 ,删除临时目录下的~t11.tmp、~t22.tmp文件,拷贝系统imm32.dll文件到临时目录下,命名为~t11.tmp并在文件尾部添加一个节名为.ss32向该节写入485字节数据,备份系统imm32.dll文件,动态加载"sfc_os.dll"系统文件,调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护,将imm32.dll拷贝到临时目录下命名为~t22.tmp,然后将病毒修改后的~t11.tmp拷贝到系统目录下替换现有的imm32.dll系统文件,以系统库文件开自动加载病毒文件,删除~t11.tmp文件,拷贝病毒源文件到系统目录下命名为kb118151019.dll,匹配所有进程中的0040728C内存地址的数据是否与病毒查找的数据匹配,如果找到则强行结束其进程,释放BAT批处理文件删除病毒源文件,查找含有“提示码”的窗口,找到之后通过读取内存地址数据获取游戏账号密码信息。以上条件成立后,读取游戏目录的.\start\usersetting.ini配置文件获取用户所在服务器相关信息,截取含有windows 图片和传真查看器、画图、acdsee、internet explorer的窗口,找到包含以上标题的窗口后自动截取并保存到临时目录下命名为tmpimg2.jpg、tmpimg2.bmp,将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中。
“下载者木马bbpg”(Trojan/Win32.Agent.bbpg[Dropper])威胁级别:★★
该病毒为木马类病毒,病毒运行后,创建进程加载病毒DLL文件,添加注册表启动项,创建相应快捷方式文件到桌面,将病毒dll文件注入到Explorer.exe进程中,调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下,病毒DLL文件主要行为:当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载,当用户选择“是”则会连接网络下载文件,当用户选择“否”则会弹出一个网页模拟本地磁盘,显示存在的威胁数量并提示用户是否下载扫描器,严重影响用户对本地磁盘的正常浏览。
“魔兽窃贼”(Backdoor/Win32.PcClient.avjs) 威胁级别:★★
该病毒文件为后门类木马,该病毒文件进行了加密处理可以躲避多款安全软件的查杀,病毒运行后创建病毒驱动文件到%System32%目录下,将病毒衍生的文件创建时间设置为svchost.exe文件的创建时间,来躲避用户按文件创建时间的查找,动态加载病毒衍生的文件并调用该文件的"ServeeeDo"模块,该模块被调用之后创建病毒服务以服务方式使svchost.exe进程达到开机启动病毒文件目的,设置完毕后调用函数启动病毒服务,创建一个svchost.exe进程将衍生的病毒文件注入到该进程中进行网络通信,被感染的用户会主动连接到被控制者的IP等待控制者发送控制命令,控制者对感染的用户进行剪切、复制、拷贝、删除、视频监控、语音监听等恶意操控。
“霸族变种cnhf”(Trojan/Win32.Buzus.cnhf[Proxy]) 威胁级别:★★
该病毒为蠕虫类病毒,该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找内存空间地址,并比较,申请内存空间将病毒代码写入到内存空间,在进程中创建线程释放病毒文件到%System32%目录下,修改注册表使系统文件达到启动病毒的目的,连接网络。
“霸族变种cldn”(Trojan/Win32.Buzus.cldn[Proxy])威胁级别:★★
该病毒为蠕虫类病毒,该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找内存空间地址,并比较,申请内存空间将病毒代码写入到内存空间,在进程中创建线程释放病毒文件到%System32%目录下,修改注册表达到启动病毒的目的,连接网络。
“控制者”(Trojan/Win32.Agent.aggr[Dropper) 威胁级别:★★
该恶意代码文件为远程控制后门类木马,病毒运行后创建Server.tmp病毒文件到临时目录下,写入126976字节病毒数据,动态加载Server.tmp文件,解密病毒资源信息包括(病毒的连网上线地址、端口、服务名),将Server.tmp移动到%System32%目录内,调用rundll32.exe命令隐藏启动病毒DLL文件,添加注册表病毒服务使服务达到开机自启动目的,病毒运行完后调用CMD删除自身文件,开启SVCHOST.EXE进程连接到作者指定的地址,等待接收病毒作者发送的控制指令,被感染的机器会被病毒作者完全控制释放批处理文件用于删除病毒自身文件。
“盗号木马”(Trojan/Win32.OnLineGames.vugj[GameThief]) 威胁级别:★★
该恶意代码文件为雅虎奇摩盗号木马类,该木马程序采用了加密处理,目的为了躲避安全软件对其查杀,病毒运行后创建批处理文件到病毒原文件所在目录下,来修改系统时间将系统时间设置为2004年,等待15000MS后再次创建批处理将系统时间设置回当前正确的系统时间,目的为了使安全软件过期失效从而对其无法主动监控查杀15000MS后病毒文件足以创建完毕,创建病毒DLL并拷贝病毒自身文件到Windir\Help目录下,并将属性设置为隐藏,试图将病毒DLL文件注入到所有进程中,病毒文件创建完后,释放批处理文件用于删除病毒原文件体,遍历“yahoobuddymain”窗口,利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号等信息,并在后台将窃得的信息发送到作者指定的收信地址。
“vb木马laj”(Trojan/Win32.VB.laj[Dropper]) 威胁级别:★★
该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件。修改注册表,添加启动项,以达到随机启动的目的。添加防火墙规则到Windows Firewall授权软件列表,使病毒穿透防火墙不受阻挡。强行设置主页,修改hosts文件信息。主动连接网络,下载相关病毒文件信息。
“木马下载者”(Trojan/Win32.Servill.hd[Downloader])威胁级别:★★
该恶意代码文件为木马下载器,病毒运行创建互斥量名为"ffgfgh"防止病毒多次运行,后动态加载ADVAPI32.DLL并分别获取该系统库中的OpenSCManagerA、OpenServiceA、ControlService、CloseServiceHandle函数,调用该函数打开服务管理器,调用OpenServiceA函数打开wscsvc防火墙的服务,调用ControlService函数关闭防火墙服务及句柄,遍历进程查找多款安全软件进程,如有则调用"taskkill"命令将其进程强行结束,创建病毒注册表服务、添加注册表映像劫持,衍生随机病毒名病毒文件到系统目录和临时目录下,连接网络下载大量病毒文件,病毒运行完毕后删除自身。
“StartPage.xx”系列捆绑木马 威胁级别:★★★
它主要是借助非法下载站点来进行传播,用户访问正规下载站点时,也有可能遭遇该毒。下载网站为了赚取软件推广费而故意设置的,目的是让用户尽可能多的下载程序。
一些黑客团伙利用这种下载方式推广自己的病毒木马。他们利用一些下载网站求利心切、对合作伙伴所提供的下载链接审核不严的漏洞,买下链接位。然后就可以等着用户自投罗网,主动下载种有病毒木马的程序。
疯狂下载者dyq”(Trojan/Win32.Small.dyq[Dropper])威胁级别:★★
该恶意代码为下载者木马,病毒运行后动态加载sfc_os.dll系统库文件,并调用该库文件序号为#5的函数,去掉对appmgmts.dll系统文件的保护,动态加载Advapi32.dll系统库文件,并调用该库文件的RegCloseKey、OpenSCManagerA函数,开启AppMgmt服务,遍历%System32%目录下的appmgmts.dll,创建病毒文件替换系统的appmgmts.dll文件,并将病毒DLL文件时间设置为该系统DLL文件的创建时间,释放驱动文件到临时目录下,等待启动之后将删除驱动文件,该驱动文件主要行为恢复SSDT过主动防御,调用StartServiceA函数启动AppMgmt服务,以系统服务启动病毒DLL文件,创建BAT批处理文件用于删除病毒自身,结束安全软件进程,将病毒DLL注入到svchost.exe进程中,开启IE连接网络下载病毒文件。
“魔兽窃贼”(Trojan/Win32.Small.dyq[Dropper])威胁级别:★★
该恶意代码为下载者木马,病毒运行后动态加载sfc_os.dll系统库文件,并调用该库文件序号为#5的函数,去掉对appmgmts.dll系统文件的保护,动态加载Advapi32.dll系统库文件,并调用该库文件的RegCloseKey、OpenSCManagerA函数,开启AppMgmt服务,遍历%System32%目录下的appmgmts.dll,创建病毒文件替换系统的appmgmts.dll文件,并将病毒DLL文件时间设置为该系统DLL文件的创建时间,释放驱动文件到临时目录下,等待启动之后将删除驱动文件,该驱动文件主要行为是恢复SSDT过主动防御,调用StartServiceA函数启动AppMgmt服务,以系统服务启动病毒DLL文件,创建BAT批处理文件用于删除病毒自身,结束安全软件进程,将病毒DLL注入到svchost.exe进程中,开启IE连接网络下载病毒文件。
“盗号木马”(Trojan/Win32.Magania.biht[OnLineGames]) 威胁级别:★★
该恶意代码文件为游戏盗号木马,病毒运行后先删除自身文件再衍生相同文件名的病毒到Windows字体目录下,防止多个病毒文件产生的冲突,调用病毒自定义的函数“JUFndB4pARSJ”模块来提升进程权限,添加注册表病毒的CLSID值、HOOK启动项,删除System32%目录下的verclsid.exe文件,病毒运行完毕后使用CMD命令删除自身文件,查找含有:图片和传真、记事本、internet explorer、acdsee的标题窗口找到后并截图将图片保存到临时目录下,将病毒DLL注入到除系统进程外的所有进程中、安装消息钩子截取用户账号信息,获取用户账户信息后通过URL方式将截取账户信息及截取到得图片发送到作者指定的地址中。
“间谍木马变种acno”(Trojan/Win32.Zbot.acno[SPY])威胁级别:★★
病毒运行后,复制自身到%System32%目录下,在该目录下衍生多个文件;修改注册表,使衍生的文件伴随userinit.exe启动以及将病毒文件加入到CMD.EXE的调用扩展中;将病毒主体添加到卡巴斯基反病毒软件的信任区域;为卡巴斯基添加新规则开放最大权限;绕过金山反病毒软件的主动防御;病毒运行完毕后删除自身。该病毒会连接网络向外发送本地机器的相关信息、下载病毒的最新版本到IE临时目录并执行,从而盗取或控制用户的计算机。
“下载者木马”(Trojan/Win32.Servill.hd[Downloader]) 威胁级别:★★
该恶意代码文件为木马下载器,病毒运行创建互斥量名为“ffgfgh”防止病毒多次运行,动态加载ADVAPI32.DLL并分别获取该系统库中的OpenSCManagerA、OpenServiceA、ControlService、CloseServiceHandle函数,调用该函数打开服务管理器,调用OpenServiceA函数打开wscsvc防火墙的服务,调用ControlService函数关闭防火墙服务及句柄,遍历进程查找多款安全软件进程,如有则调用"taskkill"命令将其进程强行结束,创建病毒注册表服务、添加注册表映像劫持,衍生随机病毒名病毒文件到系统目录和临时目录下连接网络下载大量病毒文件,病毒运行完毕后删除自身。
“欺骗者wsti”(Trojan/Win32.FraudLoad.wsti[Downloader])威胁级别:★★
该病毒为木马类,该病毒利用Outlook Express邮件消息方式传播自身,病毒运行后首先检测注册表是否有该病毒文件的键值,遍历系统目录查找病毒文件是否存在,通过判断如果存在则退出进程不继续连接网络下载伪装成杀毒软件的恶意文件《AntivirusPro_2010》,否则将继续运行,创建注册表使传输指定后缀的文件不被阻止、添加注册表启动项,将自身拷贝并衍生文件到%Documents and Settings\Administrator\Application Data%\目录内,连接网络下载病毒文件并保存到该目录下,下载完毕后调用ExitWindowsEx函数重启计算机,启动计算机之后病毒再次被启动之后,在任务栏下弹出一个安全威胁警告信息,提示计算机存在安全威胁,并启动衍生的病毒文件,该文件伪装成安全软件下载器连接网络下载文件,该恶意软件利用攻击性和欺诈性与虚假的扫描检测结果,诱导用户购买下载其假冒产品。
代理下载者变种crxe”(Trojan/Win32.Agent.crxe[Downloader])威胁级别:★★
病毒运行后,衍生文件到系统目录下,并删除自身。修改注册表创建一个服务启动项,以达到随机启动的目的。将动态链接库注入到explorer.exe进程,达到隐藏自身躲避防火墙的目的,并收集各种敏感信息。连接网络到指定站点获取下载列表并下载相关病毒文件;在下载的文件中主要为盗取用户敏感信息的木马,并尝试关闭反病毒软件。
“修改者木马ejq”(Trojan/Win32.StartPage.ejq[Dropper])威胁级别:★★
该病毒为木马类,病毒运行后遍历进程,查找杀软相关进程并关闭;删除桌面上的IE浏览器图标,创建一个执行指定主页的网站,在系统目录下衍生病毒配置文件,修改host文件,屏蔽部分网址导航网站并将其导航到指定页面;修改注册表添加启动项,修改ie浏览器的默认主页;连接指定的网站发送本地用户相关的信息。
“霸族变种cezp”(Trojan/Win32.Buzus.cezp[Proxy]) 威胁级别:★★
该病毒为蠕虫类病毒,该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找内存空间地址,并比较,申请内存空间将病毒代码写入到内存空间,在进程中创建线程释放病毒文件到%System32%目录下,修改注册表使用系统文件达到启动病毒的目的,连接网络。
