木馬秘密搜集用戶數據

在今天的病毒里需要謹慎防范“G波”變種tu和“蒼蠅賊”變種bry。

英文名稱：Backdoor/Gbot.tu

中文名稱：“G波”變種tu

病毒長度：169984字節

病毒類型：后門

危險級別：一星

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：df9844319115b80381b92c51db2889a6

病毒特征描述：

Backdoor/Gbot.tu“G波”變種tu是“G波”家族中的最新成員之一，采用高級語言編寫，經過加殼保護處理。“G波”變種tu運行后，會自我復制到被感染系統的“%USERPROFILE%\Application Data\”文件夾下，重新命名為“dwm.exe”。還會在該文件夾下釋放惡意程序“A6AA.1A3”。在“%USERPROFILE%\Application Data\Microsoft\”文件夾下釋放惡意程序“conhost.exe”，在“%USERPROFILE%\Local Settings\Temp\”文件夾下釋放“csrss.exe”。

“G波”變種tu運行時，會在被感染系統的后臺連接駭客指定的站點“onlinebi*ory.com”、“pdasof*e.com”、“gra*ar.com”、“suppor*idevices.com”、“realsoft*lopment.com”、“ord*allcd.com”、“z*tf.com”、“happy*ddin.com”、“lostpr*anda.net”、“mono*rom.at”、“online*secretfriends.com”、“fo*sho.com”、“hollan*rrett.com”、“natio*electric.com”、“health*ow.com”、“onlinein*te.com”、“crazyle*ign.com”，獲取惡意程序下載列表，下載指定的惡意程序并自動調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序（流氓軟件）等，致使用戶面臨更多的威脅。另外，“G波”變種tu會在被感染系統注冊表啟動項中添加鍵值，以此實現開機自啟。

英文名稱：TrojanDropper.Flystud.bry

中文名稱：“蒼蠅賊”變種bry

病毒長度：1406608字節

病毒類型：木馬釋放器

危險級別：一星

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：bfa50dce7dc5feabf2e1ea63f1d15f5d

病毒特征描述：

TrojanDropper.Flystud.bry“蒼蠅賊”變種bry是“蒼蠅賊”家族中的最新成員之一，采用“易語言”編寫，經過加殼保護處理。“蒼蠅賊”變種bry運行后，會自我復制到被感染系統的“C:\WINDOWS\system32\ACF7EF”文件夾下，重新命名為“74BE16.EXE”。在開始菜單[啟動]文件夾中添加名為“74BE16”的快捷方式（指向自身副本），以此實現開機自啟。

“蒼蠅賊”變種bry運行后，會在被感染系統的“C:\WINDOWS\system32\5A8DCC”和“C:\Documents and Settings\Administrator\Local Settings\TempE_N4”文件夾下分別釋放易語言運行庫“dp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fne”等。在“C:\WINDOWS\system32”文件夾下創建空目錄0F6226、76682F，用于記錄指定數據。

秘密搜集用戶數據，并將相關信息發送到駭客指定的遠程站點，從而給用戶造成了不同程度的損失。還可能從駭客指定的遠程站點下載惡意程序并自動調用運行，其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序（流氓軟件）等，致使用戶面臨更多的威脅。另外，“蒼蠅賊”變種bry可通過U盤進行傳播。

病毒是很狡猾的，我們大家一定要做好充實的防范準備才行。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]