江民11月18日病毒播报：恶犬释放恶意程序显示正常桌面 诱惑用户

江民今日提醒您注意：在今天的病毒中TrojanDropper.Dogrobot.a"恶犬"变种a和TrojanDownloader.Klever.c"搬运贼"变种c值得关注。

英文名称：TrojanDropper.Dogrobot.a
中文名称："恶犬"变种a
病毒长度：976896字节
病毒类型：木马释放器
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：316069fff1be920dd841e1a324e39072

特征描述：
TrojanDropper.Dogrobot.a"恶犬"变种a是"恶犬"家族中的最新成员之一，采用"Microsoft Visual C++ 6.0"编写，经过加壳保护处理。"恶犬"变种a运行后，会自我复制到被感染系统的"%SystemRoot%system32"目录下，重新命名为"scvhost.exe"。在该目录下释放恶意DLL组件"*.dll"，文件名随机。另外还会在"%SystemRoot%"、"%SystemRoot%system32drivers"目录下分别释放恶意程序，并复制系统文件"wininet.dll"到临时文件夹下以供调用。利用其释放的恶意驱动程序，"恶犬"变种a可以穿透一些系统还原程序的保护，并用恶意文件将"explorer.exe"覆盖，以此实现开机自启。其会用正常的"explorer.exe"替换"%SystemRoot%system32driversgm.dls"，之后将其复制到"%SystemRoot%TEMPexplorer.exe"，通过对该文件进行调用，使得用户开机时能够正常显示桌面，以此蒙蔽了用户。其会监视并关闭可能弹出的"Windows文件保护"窗口，从而使其在替换系统文件时不被用户所发现。"恶犬"变种a运行时，会关闭并禁用系统防火墙、Windows安全中心服务。关闭安全软件的自我保护功能，终止大量的安全软件、系统工具、应用程序的进程，同时还会通过关闭相关的服务、删除关键文件、利用注册表映像劫持等方式，干扰这些安全软件的正常运行，致使用户的计算机失去保护。
在被感染系统的后台连接经过多次解密后得到的URL"http://ll800.kmi*.net/88.txt"，读取该文件中存放的下载地址，然后下载恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制木马、广告程序等，致使用户面临更多的威胁。另外，其还会向指定的页面"http://liuliang.qvodcnz*.com/tj/v7/count.asp"反馈被感染计算机的信息。"恶犬"变种a会通过在被感染系统注册表启动项中添加键值"360safe"的方式实现木马"scvhost.exe"的开机自动运行。

英文名称：TrojanDownloader.Klever.c
中文名称："搬运贼"变种c
病毒长度：12800字节
病毒类型：木马下载器
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：f71fa0576db91ba08a30d336830437f4

特征描述：
TrojanDownloader.Klever.c"搬运贼"变种c是"搬运贼"家族中的最新成员之一，采用"Microsoft Visual C++ 6.0"编写。"搬运贼"变种c运行后，会在被感染系统的临时文件夹下释放恶意DLL组件"*don.dll"（*为一串随机数），之后原病毒程序会将自我删除，以此消除痕迹。"搬运贼"变种c运行时，会下载骇客指定的文件"http://www.celd*.info/an.txt"并保存为"%TEMP%3.log"。然后根据文件中的地址列表下载大量恶意程序并调用运行，从而给用户造成更多的威胁。另外，"搬运贼"变种c会在被感染系统注册表启动项中添加键值"hivew"，以此实现其释放的DLL文件的开机自启。

未经允许不得转载：DOIT » 江民11月18日病毒播报：恶犬释放恶意程序显示正常桌面 诱惑用户