红黑联盟1.10病毒播报：“激波”和“牛叉门”

今日提醒您注意：在今天的病毒中Trojan/Kyper.c“激波”变种c和Backdoor/Nbdd.o“牛叉门”变种o值得关注。

　　英文名称：Trojan/Kyper.c

　　中文名称：“激波”变种c

　　病毒长度：30208字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：44ce09226597912bc0616e72ee812b54

　　特征描述：

　　Trojan/Kyper.c“激波”变种c是“激波”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“激波”变种c运行后，会在被感染系统中释放一个恶意程序到“%SystemRoot%system32”文件夹下，重新命名为“*.exe”（随机文件名）。另外还会在临时文件夹下释放恶意驱动程序“~*.ex”。关闭“Windows安全中心”服务，关闭指定安全软件的进程及其服务，并且利用映像文件劫持干扰某些安全软件的正常启动运行，以此达到自我保护的目的。“激波”变种c释放的驱动程序可能会穿透一些系统还原软件的保护，并利用释放的恶意程序替换系统程序“userinit.exe”。“激波”变种c会检测系统中是否运行着“QQ”，以此判断计算机是否处于联网状态。向骇客指定的页面“http://tg.fs0*.cn/w1/getmac.asp”反馈被感染计算机的相关信息，同时下载“http://txt.ykwo*.com/xx.txt”到临时文件夹下，并根据该文件的设定下载大量恶意程序并调用运行，致使用户面临账号失窃、被远程控制等更大的威胁。另外，其还会下载“http://txt.ykwo*.com/ad.txt”，并用其替换系统“hosts”文件，致使用户无法访问腾讯等相关站点。另外，“激波”变种c会通过在被感染系统注册表启动项中添加键值“msconfigs”的方式实现木马的开机自动运行。

　　英文名称：Backdoor/Nbdd.o

　　中文名称：“牛叉门”变种o

　　病毒长度：52068字节

　　病毒类型：后门

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：21ac9c702f8dfa9e273792de1df9c9cf

　　特征描述：

　　Backdoor/Nbdd.o“牛叉门”变种o是“牛叉门”家族中的最新成员之一，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“牛叉门”变种o以系统服务的方式通过“svchost.exe -k krnlsrvc”加载运行后，会不断尝试与控制端（IP地址为：121.14.*.107:811）进行连接。一旦连接成功，则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令，执行任意控制操作，从而给用户的信息安全构成严重的威胁。另外，“牛叉门”变种o会在被感染计算机中注册名为“360杀毒文件实时监控”的系统服务，以此实现开机自启。