咨询热线:400-000-3720 中文 | English
您现在的位置: 安腾软件 >> ITEN博客 >> 正文

“砸波”疯狂感染进程 避免被提取样本

在今天(2008年4月7日)的病毒中TrojanSpy.Zbot.d“砸波”变种d和Trojan/Small.ehf“小不点”变种ehf值得关注。

病毒名称:TrojanSpy.Zbot.d

中 文 名:“砸波”变种d

病毒长度:47104字节

病毒类型:间谍类木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

TrojanSpy.Zbot.d“砸波”变种d是“砸波”木马家族的 新成员之一,采用高级语言编写, 并经过加壳处理。“砸波”变种d运行后,在“%SystemRoot%\system32\”目录下创建病毒体“ntos.exe”。修改注册表,实现木马开机自动运行。自我注入到所有进程中(除CSRSS.EXE外)并调用运行,保护病毒体不被复制、删除。破坏数款防火墙程序,窃取被感染计算机上用户的私密信息并发送给骇客,大大降低了被感染计算机上的安全性。另外,“砸波”变种d可能会破坏被感染计算机系统内的某些应用程序、数据库、压缩文件、图片、文档等,给用户带来极大的损失。

病毒名称:Trojan/Small.ehf

中 文 名:“小不点”变种ehf

病毒长度:23040字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

Trojan/Small.ehf“小不点”变种ehf是“小不点”木马家族的 新成员之一,采用VC++编写,经过添加保护壳处理。“小不点”变种ehf运行后,自我复制到“%SystemRoot%\system32\”目录下并重新命名为“BoboTurbo.exe”(属性为“系统隐藏”)。修改注册表,实现木马开机自动运行。在被感染计算机系统后台秘密监视用户打开的窗口和正在运行的进程,一旦发现与安全相关的软件,强行将其关闭,从而大大降低被感染计算机上的安全性。修改注册表进行映像劫持,致使用户在运行正常程序之前先运行病毒体。破坏注册表,致使被感染的计算机无法显示隐藏文件。