江民今日提醒您注意:在今天的病毒中backdoor/darkshell.ng“黑壳”变种ng和trojan/inject.kdn“植木马器”变种kdn值得关注。
英文名称:backdoor/darkshell.ng
中文名称:“黑壳”变种ng
病毒长度:65753字节
病毒类型:后门
危险级别:★
影响平台:win 9x/me/nt/2000/xp/2003
md5 校验:42e73b8e0bf8a437db051c87fc42acb3
特征描述:
backdoor/darkshell.ng“黑壳”变种ng是“黑壳”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“黑壳”变种ng运行后,会自我复制到被感染系统的“%systemroot%\system32\”文件夹下,重新命名为“skd1s.exe”(文件属性设置为“隐藏”)。之后原病毒程序会将自身删除,以此消除痕迹。“黑壳”变种ng运行时,会将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与控制端进行连接,如果连接成功,则被感染的计算机就会沦为傀儡主机。黑客可以向被感染的计算机发送恶意指令,从而执行任意控制操作(其中包括:文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等),从而给用户的信息安全构成严重的威胁。另外,“黑壳”变种ng会在被感染计算机中注册名为“www.skd1s.com”的系统服务,以此实现开机自动运行。
英文名称:trojan/inject.kdn
中文名称:“植木马器”变种kdn
病毒长度:45568字节
病毒类型:木马
危险级别:★★
影响平台:win 9x/me/nt/2000/xp/2003
md5 校验:f8743098d38d1e11b6c539cf00704748
特征描述:
trojan/inject.kdn“植木马器”变种kdn是“植木马器”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“植木马器”变种kdn运行后,会在被感染系统的“%systemroot%\system32\”文件夹下释放恶意程序“ngts.vao”,在“%userprofile%\local settings\temp\”文件夹下释放“a1.tmp”。其会创建“svchost.exe”进程,并将恶意代码注入其中隐秘运行,从而防止被轻易地查杀。“植木马器”变种kdn运行时,会秘密连接黑客指定的站点“195.78.*.201”,侦听黑客指令,然后在被感染的计算机上执行相应的恶意操作。黑客可通过“植木马器”变种kdn完全远程控制被感染的计算机系统,从而对用户的个人隐私甚至是商业机密造成严重的威胁。另外,“植木马器”变种kdn会通过修改系统注册表的方式实现开机自启。
