木馬病毒—砸波變種znd和卡朵變種dx

中文名稱：“砸波”變種znd

病毒長度：606208字節(jié)

病毒類型：間諜木馬

危險級別：兩星

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：cbcdf934cb85d53708761076df59fac7

特征描述：

TrojanSpy.Zbot.znd“砸波”變種znd是“砸波”家族中的最新成員之一，采用高級語言編寫，經過加殼保護處理。“砸波”變種znd運行后，會自我復制到被感染系統(tǒng)的

“%SystemRoot%\system32\” 

文件夾下，重新命名為“sdra64.exe”。還會在被感染系統(tǒng)的

“%SystemRoot%\system32\lowsec” 

文件夾下釋放惡意文件

“user.ds”、“user.ds.lll”、“local.ds” 

并將以上文件的屬性設置為“系統(tǒng)、隱藏、存檔”。在被感染計算機的后臺遍歷當前系統(tǒng)中運行的所有進程，如果發(fā)現(xiàn)某些指定的安全軟件（“outpost.exe”、“zlclient.exe”）存在，“砸波”變種znd便會嘗試將其強行關閉，從而達到自我保護的目的。

“砸波”變種znd運行時，會在被感染系統(tǒng)的后臺秘密監(jiān)視用戶的鍵盤和鼠標操作，伺機竊取用戶輸入的機密信息，并在后臺將竊得的信息發(fā)送到駭客指定的站點或郵箱中（地址加密存放），給被感染計算機用戶造成了不同程度的損失。還會查找是否存在

“winlogon.exe”、“svchost.exe”、“explorer.exe” 

找到后則打開進程獲取模塊句柄、獲取進程絕對路徑判斷是否是該病毒要查找的文件路徑，若不是則關閉句柄，若是則申請內存空間并從病毒體00400000為起始地址向以上進程中寫入數(shù)據(jù)。其還會在被感染系統(tǒng)的后臺連接駭客指定的URL

“www.bar*uxa.info/images/swf5.bin” 

“砸波”變種znd會通過發(fā)送垃圾郵件的方式進行自身的傳播。另外，其會通過在被感染系統(tǒng)注冊表啟動項中添加鍵值、修改登陸初始化內容等多種方式來實現(xiàn)自動運行。

英文名稱：TrojanDropper.Cadro.dx

中文名稱：“卡朵”變種dx

病毒長度：65536字節(jié)

病毒類型：木馬釋放器

危險級別：一星

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：22fab6e4e6a1dfba251beeb5421dd2fa

特征描述：

TrojanDropper.Cadro.dx“卡朵”變種dx是“卡朵”家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫。“卡朵”變種dx運行后，會在被感染系統(tǒng)的

“%USERPROFILE%\Local Settings\Temp\angls46r\” 

文件夾下釋放惡意文件“tmp.exe”、“s.exe”，然后把

“tmp.exe”、“s.exe” 

移動到

“%SystemRoot%\temp\”和“%SystemRoot%\system32\” 

文件夾下并在后臺調用運行。“tmp.exe”運行時，會在被感染系統(tǒng)的后臺連接駭客指定的站點

“8475.770*23.cn”、“60.217.*.138”、“sp.dem*en.com” 

獲取惡意程序下載列表，下載指定的惡意程序并自動調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序（流氓軟件）等，致使用戶面臨更多的威脅。

卡朵變種dx屬于某惡意程序集合中的部分功能組件，如感染此病毒，則說明當前計算機系統(tǒng)中還感染了其它的病毒程序。另外，“卡朵”變種dx會在開始菜單“啟動”文件夾下添加名為“ktv.lnk”的快捷方式（指向自身副本），以此實現(xiàn)自動運行。

【編輯推薦】

1. 木馬干擾安全軟件運行
2. 木馬秘密搜集用戶數(shù)據(jù)
3. 木馬強化惡意文件迷惑性
4. 病毒冒充系統(tǒng)服務自動運行
5. 駭客利用病毒賺取非法經濟利益