6月計(jì)算機(jī)病毒總結(jié)：三個(gè)變種病毒分析

Backdoor/Huigezi.bdgv“灰鴿子”變種bdgv是“灰鴿子”家族中的最新成員之一，采用“Borland Delphi 6.0 - 7.0”編寫，經(jīng)過(guò)加殼保護(hù)處理。“灰鴿子”變種bdgv運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的“%SystemRoot%\”文件夾下，重新命名為“Utility Mang.exe”。文件屬性設(shè)置為“系統(tǒng)、隱藏、只讀、存檔”。

“灰鴿子”變種bdgv屬于反向連接后門程序，其會(huì)在被感染系統(tǒng)的后臺(tái)連接駭客指定的站點(diǎn)“woairoji.3322.org”，獲取客戶端IP地址，偵聽駭客指令，從而達(dá)到被駭客遠(yuǎn)程控制的目的。該后門具有遠(yuǎn)程監(jiān)視、控制等功能，可以監(jiān)視用戶的一舉一動(dòng)（如：鍵盤輸入、屏幕顯示、光驅(qū)操作、文件讀寫、鼠標(biāo)操作和攝像頭操作等）。還可以竊取、修改或刪除計(jì)算機(jī)中存儲(chǔ)的機(jī)密信息，從而對(duì)用戶的個(gè)人隱私甚至是商業(yè)機(jī)密構(gòu)成嚴(yán)重的威脅。

據(jù)悉，感染“灰鴿子”變種bdgv的系統(tǒng)還會(huì)成為網(wǎng)絡(luò)僵尸傀儡主機(jī)，利用這些傀儡主機(jī)駭客可對(duì)指定站點(diǎn)發(fā)起DDoS攻擊、洪水攻擊等，給互聯(lián)網(wǎng)的信息安全造成了更多的威脅。該后門的傳播途徑一般為網(wǎng)頁(yè)木馬，如果用戶的計(jì)算機(jī)系統(tǒng)存在相應(yīng)的漏洞，則會(huì)增加感染該病毒的風(fēng)險(xiǎn)，甚至是多次重復(fù)感染。另外，“灰鴿子”變種bdgv會(huì)在被感染系統(tǒng)中注冊(cè)名為“Utility Mangserver”的系統(tǒng)服務(wù)，以此實(shí)現(xiàn)自動(dòng)運(yùn)行。

計(jì)算機(jī)病毒——“倔客”變種kwc

Trojan/Jorik.kwc"倔客”變種kwc是“倔客”家族中的最新成員之一，采用“Microsoft Visual C++ 7.0”編寫。“倔客”變種kwc運(yùn)行后，會(huì)創(chuàng)建名為“www.gutefrage.net”的互斥體，以防止二次運(yùn)行。然后會(huì)自我復(fù)制到被感染系統(tǒng)的“%USERPROFILE%\Application Data\”文件夾下，重新命名為“Raiyip.exe”。“倔客”變種kwc會(huì)利用IRC協(xié)議（互聯(lián)網(wǎng)中繼聊天）與服務(wù)器“79.7.146.62.in-addr.arpa”建立連接，并與服務(wù)器進(jìn)行命令交互，以此實(shí)現(xiàn)遠(yuǎn)程控制的目的。其可根據(jù)服務(wù)器發(fā)送的指令，以FTP和HTTP的方式下載網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制后門或惡意廣告程序（流氓軟件）等，給被感染系統(tǒng)用戶造成了更多的侵害。

據(jù)悉，“倔客”變種kwc還會(huì)對(duì)指定IP發(fā)動(dòng)DDos攻擊、向MSN聯(lián)系人發(fā)送帶毒壓縮文件，從而造成了更大的破壞與威脅。在被感染系統(tǒng)的后臺(tái)連接駭客指定的站點(diǎn)“data.fuskbugg.se”，獲取惡意程序下載列表“4e28ae2064f07_av.txt”，下載指定的惡意程序并自動(dòng)調(diào)用運(yùn)行。其所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制后門或惡意廣告程序（流氓軟件）等，致使用戶面臨更多的威脅。

該木馬的傳播途徑一般為網(wǎng)頁(yè)木馬，如果用戶的計(jì)算機(jī)系統(tǒng)存在相應(yīng)的漏洞，則會(huì)增加感染該病毒的風(fēng)險(xiǎn)，甚至是多次重復(fù)感染。另外，“倔客”變種kwc會(huì)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值，以此實(shí)現(xiàn)自動(dòng)運(yùn)行。

計(jì)算機(jī)病毒——“克隆先生”變種jsa

Packed.Klone.jsa“克隆先生”變種jsa是“克隆先生”家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫，經(jīng)過(guò)加殼保護(hù)處理，是一個(gè)由其它惡意程序釋放的DLL功能組件。

“克隆先生”變種jsa運(yùn)行后，會(huì)將自身插入到系統(tǒng)桌面程序“explorer.exe”進(jìn)程中隱秘運(yùn)行。后臺(tái)執(zhí)行相應(yīng)的惡意操作，以此隱藏自我，防止被輕易地查殺。遍歷當(dāng)前系統(tǒng)運(yùn)行的所有進(jìn)程，一旦發(fā)現(xiàn)某些安全軟件的進(jìn)程存在，便會(huì)嘗試將其結(jié)束，致使被感染系統(tǒng)失去安全軟件的防護(hù)。

“克隆先生”變種jsa是一個(gè)專門盜取網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，其會(huì)在被感染系統(tǒng)的后臺(tái)秘密監(jiān)視系統(tǒng)所運(yùn)行程序的窗口標(biāo)題，一旦發(fā)現(xiàn)指定程序啟動(dòng)，便會(huì)利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)、金錢數(shù)量、倉(cāng)庫(kù)密碼等信息，并在后臺(tái)將竊得的信息發(fā)送到駭客指定的站點(diǎn)（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。“克隆先生”變種jsa屬于某惡意程序集合中的部分功能組件，如果感染此病毒，則說(shuō)明系統(tǒng)中還感染了其它的惡意程序。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]