代理木马和SQL幽灵变种

江民9.21病毒播报

英文名称:TrojanDropper.Agent.aaxa

中文名称:“代理木马”变种aaxa

病毒长度:23552字节

病毒类型:木马释放器

危险级别:★★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:35db985e312f22cc6ead0a4a5f2d0a2d

特征描述:

TrojanDropper.Agent.aaxa“代理木马”变种aaxa是“代理木马”木马释放器家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“代理木马”变种aaxa运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32 \dllcache\”文件夹下,重新命名为“systembox.bak”。在“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“*.dll”(文件名从netsvcs服务组中依次取得,一般从“6to4”开始),同时将其复制到 “%SystemRoot%\system32\dllcache\”文件夹下。另外,还会在“%SystemRoot%\system32 \drivers\”文件夹下释放恶意驱动程序“WmiSvc.sys”,用以结束各类安全软件的自我保护。结束大量安全软件的进程,同时利用注册表映像文件劫持功能,干扰这些安全软件的正常运行。“代理木马”变种aaxa释放的DLL文件在运行后,会下载其它各类木马或者连接指定的挂马页面,从而给用户造成不同程度的损失。“代理木马”变种aaxa还可通过移动存储设备及网上邻居进行传播,其会自我复制为“[盘符]:\recycle. {645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe”并生成“autorun.inf”文件,从而利用系统的自动播放功能激活自我。通过自带的密码表对存在弱口令的网上邻居进行连接,一旦连接成功便会复制自身到该计算机的“C:\”下,重新命名为 “bootfont.exe”,并且利用计划任务功能将其激活。另外,“代理木马”变种aaxa会对部分扩展名为“.exe”、“.asp”、 “.htm”、“.html”、“.aspx”及“.RAR”文件进行感染,从而给用户造成更多的风险。“代理木马”变种aaxa会在被感染计算机中注册为系统服务,以此实现开机自启。

英文名称:Exploit.SqlShell.o

中文名称:“SQL幽灵”变种o

病毒长度:227328字节

病毒类型:漏洞病毒

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:750e784163ea09d7889b4e1110b985e2

特征描述:

Exploit.SqlShell.o“SQL幽灵”变种o是“SQL幽灵”漏洞病毒家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件,经过加壳保护处理。“SQL幽灵”变种o运行时,会在被感染系统的“%SystemRoot%\system32\”目录下释放经过加壳保护的恶意DLL组件“dwinter.dll”和“dwintel.dll”。“SQL幽灵”变种o会针对“Microsoft SQL Server 2003”或其它版本的已知漏洞进行攻击,其会搜索当前网段内存在的数据库服务,并对使用了弱口令、采用混合验证模式登陆的数据库服务进行连接。骇客会发送特定的查询使得之前释放的DLL文件被调用,一旦调用成功,“SQL幽灵”变种o可能会通过FTP等方式下载其它的恶意程序,或者在服务器上执行任意代码,从而对被感染系统的用户造成不同程度的侵害。

时间: 2024-12-25 17:14:26

代理木马和SQL幽灵变种的相关文章

Hadoop的分布式架构改进与应用

Hadoop的分布式架构改进与应用 Baofeng Zhang@zju  转载请注明出处:http://blog.csdn.net/zbf8441372  1.  背景介绍        谈到分布式系统,就不得不提到Google的三驾马车:GFS[1],MapReduce[2]和BigTable[3].虽然Google没有开源这三个技术的实现源码,但是基于这三篇开源文档, Nutch项目子项目之一的Yahoo资助的Hadoop分别实现了三个强有力的开源产品:HDFS,MapReduce和HBas

NoSQL运动:数据库架构抉择

导读:Mike Loukides是O'Reilly传媒的内容战略副总裁,他对编程语言和UNIX系统管理非常感兴趣,著作有System Performance Tuning和Unix Power Tools. 在去年的一次谈话中,basho公司的CTO Justin Sheehy认为,NoSQL是一场运动,而非技术.我立刻深表赞同,因为以往关于NoSQL的探讨并不舒心. 那么,为什么说NoSQL是一场运动,而非技术呢?Justin的说法直截了当:之所以说NoSQL是一场运动,是因为这是对数据库架构

近期出现“代理木马”新变种

国家计算机病毒应急处理中心通过对http://www.aliyun.com/zixun/aggregation/8.html">互联网的监测发现,近期出现"代理木马"新变种(Trojan_Agent.FC),该变种会阻止受感染操作系统中防病毒软件进程文件的正常运行. 该变种运行后,会提升自身进程在受感染操作系统中的权限,遍历后台系统正在运行的所有进程.一旦发现系统中防病毒软件进程文件正在运行,变种就会在系统目录下的临时文件夹中释放恶意动态链接DLL组件以及恶意可执行文件

互联网的监测发现“代理木马”新变种

国家计算机病毒应急处理中心通过对http://www.aliyun.com/zixun/aggregation/8.html">互联网的监测发现,近期出现"代理木马"新变种(Trojan_Agent.FC),该变种会阻止受感染操作系统中防病毒软件进程文件的正常运行. 变种会迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器,下载其他木马.病毒等恶意程序. 针对已感染该变种的计算机用户,专家建议立即升级系统中的防病毒软件,进行全面杀毒.对未感染的用户建议打开系统

“代理木马”新变种现身互联网

新华网天津1月20日电(记者张建新)国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现"代理木马"新变种Trojan_Agent.CSQZ. 该变种运行后,会从病毒文件中抽取两个文件释放到受感染操作系统的系统目录下,一个是可执行文件,另外一个是动态链接库文件.变种释放出来的两个文件会调用系统进程文件来执行其中释放出来的动态链接库DLL文件,并且导出指定函数值,随即停止相关http://www.aliyun.com/zixun/aggregation/18477.html&quo

“代理木马”出现新变种

据新华社电 国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现"代理木马"新变种(Trojan_Agent.C G J O),提醒用户小心谨防. 反病毒专家说,该变种会通过Web网页挂马方式入侵感染计算机用户的操作系统.变种运行后,会将其自身内嵌的恶意木马程序释放出来并运行,同时删除自身,防止操作系统中防病毒软件的查杀. 恶意木马程序运行后,会使感染的计算机系统自动连接互联网络中的指定服务器,随后下载其他病毒.木马等恶意程序,其中还包括一些后缀名为obj的文件,这些文件为某种广

当心“代理木马”出现新变种

据新华社电 (记者张建新)国家计算机病毒应急处理中心监测发现,近期出现"代理木马"新变种(Trojan_Agent.DQOU). 该变种是一种能够劫持受感染操作系统对搜索引擎和商业Web网站访问的恶意木马程序.以往的恶意程序会入侵感染操作系统并窃取计算机用户个人的私密账号和密码信息等,以此获取经济利益.而该变种则是利用互联网来谋取更大经济利益. 变种运行后,会在受感染操作系统的当前目录下释放恶意程序文件,主要是一些动态链接库文件,同时在驱动目录下释放恶意驱动程序.该驱动程序是一种TCP

“代理木马”新变种肆虐互联网

国家计算机病毒应急处理中心27日发布信息称,通过互联网络监测发现,近期"代理木马"新变种(Trojan_Agent.NV)肆虐互联网,很多计算机用户受到它的威胁. 专家说,该变种还会将受感染操作系统的桌面及快速启动栏中的快捷方式文件的扩展名替换为".qc",一旦点击这些快捷方式文件同样会在操作系统后台隐藏运行该变种,随即释放出恶意脚本文件对操作系统进行破坏. 专家建议: 1.已经感染该变种的计算机用户应立即升级系统中的防病毒软件,进行全面杀毒. 2.未感染该变种的用

国家计算机病毒中心:代理木马新变种威胁大

新华网天津6月6日电(记者张建新)国家计算机病毒应急处理中心6日发布信息称,通过互联网监测发现,近期很多计算机用户受到"代理木马"新变种(Trojan_Agent.LY)的威胁,提醒用户小心谨防. 该变种集合了多种恶意程序软件的技术,采用了很多技术手段避开操作系统中防病毒软件的扫描查杀.变种还会在操作系统的应用程序接口处插入特定的指令代码,甚至对恶意程序代码采用多重加密等技术处理方式. 变种运行后,会在系统的临时文件夹下释放病毒文件,修改注册表,实现其开机自动运行.迫使系统连接指定的服