江民科技1月22日病毒播报：“多面杀手”

英文名称：TrojanDownloader.AutoIt.nn

中文名称：“多面杀手”变种nn

病毒长度：1376541字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：d88fc807849aec8d424a83b96be4e317

特征描述：

TrojanDownloader.AutoIt.nn“多面杀手”变种nn是“多面杀手”家族中的最新成员之一，经过加壳保护处理。“多面杀手”变种nn运行后，会读取new.9*8.la/53a.txt中存储的代码。访问api.l*wei.com/location/，获取本机的IP地址。在“C:Documents and SettingsAll UsersApplication Data”文件夹下创建“ok.vbs”，在“D:RECYCLERMD1”下创建“CLSID.reg”、“desktop.ini”、“1.inf”，并设置上述文件为“系统、隐藏”属性。“ok.vbs”运行后，会在当前用户桌面上创建假冒的IE快捷方式，然后调用之前释放的其它恶意文件。调用完成后，“ok.vbs”会将这些恶意文件删除。“多面杀手”变种nn运行时，会在“HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce”下添加键值“Rundll32 shell32.dll,ShellExec_RunDLLA device:Windowssystem32debug.exe”，在“HKEY_CLASSES_ROOTCLSID{EDF23680-E1E5-41D2-8EF7-206008039E37}IsShortCut”下创建相关键值，在“HKEY_CLASSES_ROOTCLSID{EDF23680-E1E5-41D2-8EF7-206008039E37}DefaultIcon”下创建键值“C:Program FilesInternet ExplorerIEXPLORE.EXE”，在“HKEY_CLASSES_ROOTCLSID{EDF23680-E1E5-41D2-8EF7-206008039E37}ShellOpen(&O)”下添加键值“打开(&H)”，在“HKEY_CLASSES_ROOTCLSID{EDF23680-E1E5-41D2-8EF7-206008039E37}ShellOpen(&O)Command”下添加键值“Rundll32 shell32.dll,ShellExec_RunDLLA C:Program FilesInternet ExplorerIEXPLORE.EXE http://www.6*5.la/?10”，从而实现通过假冒IE快捷方式自动访问指定站点的目的，给骇客带来了非法的经济利益。

英文名称：TrojanDownloader.Generic.cpo

中文名称：“通犯”变种cpo

病毒长度：50706字节

病毒类型：木马下载器

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：03c4a040137a6d3a6cae79802dfb3d98

特征描述：

TrojanDownloader.Generic.cpo“通犯”变种cpo是“通犯”家族中的最新成员之一，经过加壳保护处理。“通犯”变种cpo运行后，会首先创建注册表键“HKEY_LOCAL_MACHINESOFTWAREWinRARam128”，并设置其键值为“s_m_f_am128”。如果发现该键值已经存在便会直接退出运行，同时将自身的文件进行删除。创建名称为“s_m_f_am128”的互斥体，从而防止自身重复运行。在当前用户的桌面上创建假冒IE快捷方式和垃圾Internet快捷方式“Internet Explorer”、“八卦色图”、“美女乐园”、“淘宝购物”、“团购之家”，还会在IE收藏夹中创建垃圾Internet快捷方式“八卦色图”、“百谷电影”、“创业投资好项目”、“看看电影”、“美女乐园”，从而诱导用户对指定站点进行访问，给骇客带来非法的经济利益。下载指定程序“www.xu*i100.com/msn/software/partner/28/DDHYT.exe”、“qk*an.6gg.cn/jm_setup_qvod.exe”、“e*.6gg.cn/setup_p55.exe”并自动调用运行，从而为指定软件恶意提高装机量。在注册表中创建“HKEY_LOCAL_MACHINESOFTWAREWinRARhp”，同时设置其键值为“www.dh4*1.com”。在被感染系统中弹出广告网页“tc.9*h.com”，从而为指定站点增加了访问量。另外，“通犯”变种cpo会在被感染系统后台搜集各种用户私密信息，并且将其发送到“jump3.35*38.com:27889/report3.ashx?m=%s&mid=%s&tid=1&d=%s&uid=%s&t=%s”。

针对以上病毒，江民反病毒中心建议广大电脑用户：

1、请将江民杀毒软件升级至最新版本，并且进行全盘扫描。江民杀毒软件KV2011的扫描加速技术令查杀更快捷。虚拟机脱壳以及动静态启发扫描更可强力狙击各种已知、未知病毒。

2、江民网络版的用户请及时升级控制中心和所有客户端，并且进行全网病毒查杀。

3、开启江民杀毒软件的主动防御功能。江民杀毒软件KV2011采用先进的“智能主动防御2.0”系统，对病毒的拦截更精准，避免干扰正常软件的运行。

4、开启江民杀毒软件的网页防马墙功能。网页木马特征库动态更新，最新网马迅速拦截。同时结合恶意、钓鱼网址库，为您的网上冲浪建立起双重防护。

5、开启江民杀毒软件的“移动存储监视”功能（仅KV2011具备）。江民杀毒软件KV2011可阻止病毒通过移动存储设备进行传播，让数据存储更安全。

6、开启定时漏洞检测功能，定期修复系统关键漏洞和常用第三方软件漏洞，不给病毒以可乘之机。

7、开启江民黑客防火墙。江民杀毒软件KV2011内置全新的三层立体黑客防火墙，可对不同层面的网络攻击进行防御，保卫系统安全更全面。

8、对于在Windows下无法清除的顽固文件，可使用BootScan功能在系统登陆前进行病毒查杀。

9、江民杀毒软件拥有强大的自我保护功能，能够有效避免病毒的肆意破坏，全天候为您的信息安全护航。

10、江民杀毒软件最新版下载地址http //filedown.jiangmin.com/KV2011/inst.exe（30天免费试用，KV2010用户无需卸载可直接覆盖安装）。或者可以使用江民免费在线查毒系统进行病毒检测：http //online.jiangmin.com/

有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

未经允许不得转载：DOIT » 江民科技1月22日病毒播报：“多面杀手”