当前位置:学院首页 >> 网络安全 >> 江民10.28病毒播报:卡拉蜜和顽梯变种

网络安全

江民10.28病毒播报:卡拉蜜和顽梯变种

发布于 2008-10-28   次阅读 字体:

标签:江民10.28病毒播报:卡拉蜜和顽梯变种   

  江民今日提醒您注意:在今天的病毒中Packed.Krap.z“卡拉蜜”变种z和Rootkit.Vanti.fzh“顽梯”变种fzh值得关注。

  英文名称:Packed.Krap.z
  中文名称:“卡拉蜜”变种z
  病毒长度:145814字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003

  Packed.Krap.z“卡拉蜜”变种z是“卡拉蜜”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“卡拉蜜”变种z运行后,自我复制到被感染计算机系统的“%SystemRoot%\Help\”目录下,并重新命名为“EB6C4499B05F.exe”,文件属性设置为:系统、隐藏、存档。在被感染计算机系统的“%SystemRoot%\Help\”目录下释放一个恶意DLL功能组件“EB6C4499B05F.dll”,将其插入到被感染计算机系统“explorer.exe”等用户级权限的进程中加载运行,并在后台执行相应的恶意操作,隐藏自我,防止被查杀。“卡拉蜜”变种z会在被感染计算机的后台秘密监视正在运行的所有窗口标题,一旦发现标题中存在与安全相关的字符串(如“安全警报”、“网页”)便会强行向其进程循环发送垃圾消息,试图使其出错关闭或自动退出。强行篡改系统日期,利用某些安全软件存在的“时间判断”缺陷使其保护功能失效,进而达到自我保护的目的。“卡拉蜜”变种z可盗取“魔兽世界Online”、“热血江湖Online”、“冒险岛Online”、“洛汗Online”等网络游戏的会员账号,会在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来一定程度的损失。同时,该木马还会窃取用户“雅虎通(Yahoo! Messenger)”和“Yahoo奇魔”的账号信息,并在后台发送到骇客指定的远程服务器站点上。“卡拉蜜”变种z具有自动更新功能,连接指定站点进行自动升级。另外,“卡拉蜜”变种z会通过修改系统注册表的方式来实现木马开机自启动。

  英文名称:Rootkit.Vanti.fzh
  中文名称:“顽梯”变种fzh
  病毒长度:9056字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003

  Rootkit.Vanti.fzh“顽梯”变种fzh是“顽梯”木马家族中的最新成员之一,采用内核级Rootkit技术来实现隐藏自我,未经过加密保护处理。“顽梯”变种fzh在用户计算机系统中安装注册运行后,利用高级的Rootkit技术(内核级的钩子“SSDT HOOK”与“FSD HOOK”)隐藏病毒进程、病毒文件、病毒在注册表中的启动项等特征信息,防止被安全软件和用户查杀,达到更好的隐蔽效果。其中,该恶意驱动程序属于某病毒整体中的一个功能模块,伴随该恶意驱动程序的出现,还会有其它恶意功能模块也一同被安装到系统中。用户计算机系统一旦感染该病毒,则很难清除干净。另外,“顽梯”变种fzh会通过在被感染计算机中注册系统服务的方式来实现木马开机自启动。

网站地图