|
病毒資料如下:
英文名稱:Trojan/Antavmu.cbu
中文名稱:“偽程序”變種cbu
病毒長度:32844字節
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:ad3e572a874a0a57f88ba48b829e9f37
特征描述:
Trojan/Antavmu.cbu“偽程序”變種cbu是“偽程序”家族中的最新成員之一�����,采用“Microsoft Visual Basic 5.0 / 6.0”編寫�����,經過加殼保護處理���。“偽程序”變種cbu運行后��,會執行命令
- “cacls.exe %SystemRoot%\system32\cmd.exe /e /t /g everyone:F”
來賦予所有用戶對cmd.exe的控制權限�。將被感染系統“%programfiles%\360safe\safemon\”文件夾下的DLL組件“safemon.dll”重命名為“safemes.dll”����,將“%programfiles%\Rising\AntiSpyware\”文件夾下的DLL組件“ieprot.dll”重命名為“iepret.dll”����。刪除“%SystemRoot%\system32\”文件夾下的舊版本病毒文件
- “ttjj34.ini”�、“SoundMan.exe”��、“zozz.exe”����、“zozzo.exe”�、“vpcma.exe”����、“soliee.exe”�����、“inertno.exe”���、“xox.exe”����、“zozo.exe”����、“sosos.exe”�����、“solin.exe”�����、“inertne.exe”�����、“notepde.exe”
還會強行關閉服務
- “wscsvc”����、“sharedaccess”�����、“KPfwSvc”���、“KWatchsvc”�����、“McShield”�、“Norton AntiVirus Server”
創建進程快照����,如果發現名為
- “shstat.exe”���、“runiep.exe”����、“ras.exe”�、“MPG4C32.exe”����、“imsins.exe”����、“Iparmor.exe”���、“360safe.exe”���、“360tray.exe”��、“kmailmon.exe”�����、“kavstart.exe”����、“avp.exe”����、“SonndMan.exe”�、“Vmware.exe”�����、“exename”����、“vpcma.exe”��、“cmd.exe”�、“cacls.exe”�����、“notepde.exe”
的進程��,“偽程序”變種cbu則會試圖強行結束該進程�����。其會在被感染計算機系統的“%SystemRoot%\”文件夾下釋放惡意程序“BarClientServer.exe”���,在“%SystemRoot%\system32\”文件夾下釋放“inertno.exe”���,并將以上文件屬性設置為“系統�����、隱藏”��。在“%SystemRoot%\system32\”文件夾下釋放配置文件“ttjj34.ini”���。在被感染系統的后臺連接駭客指定的站點“www.caif*678.cn:81/rc/xms/”����,獲取惡意程序下載列表�����,下載指定的惡意程序并自動調用運行���。其所下載的惡意程序可能為網絡游戲盜號木馬�����、遠程控制后門或惡意廣告程序(流氓軟件)等����,致使用戶面臨更多的威脅���。
在被感染系統中新建名為“new1”���、密碼為“12369”的用戶��,為駭客留下后門�����,致使被感染系統可被不法分子遠程登錄�����、控制��,進而淪為攻擊跳板或肉雞���。“偽程序”變種cbu在被感染系統中安裝完畢后��,會創建批處理文件“2.bat”并在后臺調用執行��,以此將自身刪除����。另外����,其會通過修改已有服務“helpsvc”的方式實現自動運行����。
病毒的介紹就為大家介紹完了���,希望大家多多了解防范病毒的措施��,更好的保護自己的主機����。
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商����!15年品質保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
