本周方正熊猫病毒报告的焦点集中在以下几个病毒:蠕虫 Bagz.H和Mitglieder.AY 以及木马Citifraud.A。
Bagz.H通过邮件传播。主要步骤如下:在被感染系统中以DBX, HTM, TBB, TBI 或TXT为拓展名的文件里搜寻邮件地址,然后自我发送至上述地址。需注意的是,该病毒并不是发送到所有地址,它会自动跳开一些诸如abuse, admin或Administrator@等的特殊发件人地址。
Bagz.H的病毒邮件并没有固定格式,其主题、文本内容以及附件名千变万化。如果用户运行附件,Bagz.H即会通过一项名为Xuy v palto的服务性程序进行自己安装。此外,这种蠕虫会修改windows主文件,阻止用户访问某个特定网页。
另外,Bagz.H还会删除注册表中属于某个防病毒或安全应用程序的键值,然后重新创建,以确保许每次启动计算机该蠕虫能被同时激活。
Mitglieder.AY是一种和Bagle.BC 以及 Bagle.BE(几天前刚被检测出)息息相关的关联蠕虫。它借助这些蠕虫产生的后续影响、利用上述变种在TCP端口81创建的后门,藉由因特网直接进入计算机。Mitglieder.AY扫描相关的IP地址以查看该端口是否已开放,如果TCP端口81呈开放状态,蠕虫会以一个名为winshost.exe的文件,将自己复制到这些计算机中。
紧接着,Mitglieder.Ay还会终止内存里不其他应用程序的进程。甚至每六个小时,它会试图从某个网页上下载安装zoo.jpg文件。一旦安装成功,该文件将会保存在被感染计算机的File.exe文件下,以确保每次文件运行时,它会下载其他各种的恶意程序侵入上述目标机器。
作为押轴,我将以Citifraud.A木马结束本周的病毒周报。这是一种利用一个广为所知的微软IE漏洞、以HTML格式编写的木马代码。它含有一个指向某知名银行主页的伪装连接,而实际上这个地址不过是模仿该银行网页页面的伪造网址。借此手段,该木马将试图窃取用户所输入的帐号详情,以最后帮助黑客得到这些银行帐号。
