信息安全常识>

“友好客户”变种ajxz和“克隆先生”变种jva值得关注

日期:2011年09月26日    作者:    点击数:[]

 据江民反病毒中心工程师介绍,Backdoor/PcClient.ajxz“友好客户”变种ajxz是“友好客户”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“友好客户”变种ajxz运行后,会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“播放器下载.exe”,并且执行。“播放器下载.exe”运行后,会在“友好客户”变种ajxz所在文件夹下释放恶意脚本文件“1.vbs”、恶意程序“成人播放器下载.exe”、恶意批处理程序“p.bat”和快捷方式“高清电影”。恶意批处理程序“p.bat”运行时,会删除用户桌面和快速启动文件夹下的“Internet Explorer.lnk”、“启动 Internet Explorer 浏览器.lnk”、“Internet Explorer.url”、“启动 Internet Explorer 浏览器.url”。然后会在桌面和快速启动文件夹新建一个“Internet Explorer.url”,当用户运行这个新建的“Internet Explorer.url”以后,其会打开骇客指定的URL“www.laopo123.com/?d”,达到增加其访问量的目的。还会定时弹出广告网页或窗口,会对用户正常的电脑操作造成不同程度的干扰。另外,“友好客户”变种ajxz还会占用大量的系统资源,极大地降低了系统的运行速度。

    Packed.Klone.jva“克隆先生”变种jva是“克隆先生”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,经过加壳保护处理,是一个由其它恶意程序释放的DLL功能组件。“克隆先生”变种jva运行后,会在后台遍历当前系统正在运行的所有进程,如果发现进程“AhnRpta.exe”存在,“克隆先生”变种jva便会尝试将其强行关闭。其会复制“%SystemRoot%\”文件夹下的“notepad.exe”并将其重新命名为“AhnRpta.exe”,然后以隐藏的方式执行,并将恶意代码注入到进程“AhnRpta.exe”中,从而更好的隐藏自我,防止被查杀。试图强行删除某些与安全软件相关的注册表键,致使指定的安全软件无法开启监控和自我保护等功能。“克隆先生”变种jva运行时,会在被感染系统的后台连接骇客指定的站点“www.baiduopi.com/1tw/”,获取恶意程序下载列表“at1.txt”和“at2.txt”,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“克隆先生”变种jva属于某恶意程序集合中的部分功能组件,如果感染此病毒,则说明系统中还感染了其它的恶意程序。

    因此,江民反病毒中心建议大家,为保护个人财产和信息的安全,要及时升级杀毒软件的病毒库。对于以上病毒,江民科技已经在第一时间升级了病毒库,请广大用户升级查杀。

上一条:Trojan/Sasfis.pai萨斯风变种出现 下一条:“热键劫持者”会劫持系统热键的流氓木马

关闭

Copyright 2008-2010 长沙民政职业技术学院图书信息中心 www.csmzxy.com All rights reserved 通讯地址:湖南长沙香樟路22号
邮编:410004 Email:webmaster@csmy.com 电话: 0731-82804789
技术支持:图书信息中心