基本資料
英文名稱:TrojanDropper.Typic.sh
中文名稱:“痞客”變種sh
病毒長度:25165位元組
病毒類型:木馬釋放器
危險級別:★
影響平台:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:026b2528330b80fb37b940d58b39c1b0
特徵描述
“痞客”變種sh運行時,會在被感染系統的後台連線駭客指定的遠程站點“w99.eg*ns.cn/com/”,下載惡意程式“1.exe”並自動調用運行。其所下載的惡意程式可能為網路遊戲盜號木馬、遠程控制後門或惡意廣告程式(流氓軟體)等,致使用戶面臨更多的威脅。後台遍歷當前系統中運行的所有進程,如果發現“bdagent.exe”、“KVMonXP.kxp”、“kavstart.exe”、“egui.exe”、“avp.exe”、“RavMonD.exe”、“mpmon.exe”、“dwengine.exe”、“ccSvcHst.exe”、“mcagent.exe”、“ashDisp.exe”、“avgtray.exe”、“avesvc.exe”、“sfctlcom.exe”、“apvxdWin.exe”這些進程存在,“痞客”變種sh便會嘗試將其強行關閉,從而達到自我保護的目的。利用域名映像劫持功能,在被感染系統的後台強行篡改“hosts”檔案,從而將“www.baidu.com”、“baidu.com”、“www.google.cn”、“google.cn”、“www.g.cn”、“g.cn”、“www.google.com”和“google.com”這些域名禁止,干擾用戶對這些站點進行訪問。在完成上述行為後,原病毒程式會將自身刪除,以此消除痕跡。
