本周的病毒周报我们要关注的病毒包括:Netsky的6个变种、Nachi和Bagle的2个变种、Sober.D、特洛伊木马Cidra.B以及黑客工具StarKeylog.A。
Netsky 的H, I, J, K, L和M变种都是通过一封特征多变e-mail传播,其中H、I、J、K变种又具有以下共性:
能删除一些蠕虫病毒在注册表内创建的键值,如Mydoom.A、Mydoom.B、Mimail.T及Bagle的几个变种。
在特定日期通过计算机内置扬声器制造噪音(如,Netsky.H为2004年3月8日)。
H、I、J变种之间的区别是:
携带恶意代码的文件大小不同。
为确保不在同一时间执行而创建的互斥体的名字不同。
在病毒代码中有关批评Mydoom及Bagle病毒作者的文字不同。
通过e-mail发送自己的并发句柄数不同(H变种是32,I变种是8,而J变种是16)。
K、L、M变种具有区别于其它变种的下列特征:
2004年3月16日,Netsky.K会打开26端口等待连接,然后删除在注册表内创建的键值,并在屏幕上显示相关信息。Netsky.K有时会发送一个密码保护的ZIP压缩文件。同时,在它的病毒代码内有相当长的一段文字,声明3月11日将是“Skynet日”。
从3月11日到13日,Netsky.L和Netsky.M向外发送的邮件数量逐渐增加。
接下来我们看看Nachi的2个新变种Nachi.F和Nachi.G。这两个蠕虫影响Windows 2003/XP/2000/NT系统,为了尽可能扩大传播范围,他们利用了RPC界面的 缓冲溢出漏洞和 WebDAV及工作站服务的缓冲溢出漏洞,并能终止Mydoom.A、Mydoom.B、Doomjuice.A及 Doomjuice.B等病毒程序的进程,删除相关文件,并最终卸载这些病毒的程序。Nachi.F和Nachi.G能在系统日期为2004年7月1日后删除自己。并且,由于他们会试图利用上述漏洞传播,会使得通过TCP 80、135和445端口的网络通讯激增。与此同时,它们也会利用由Mydoom.A 和 Mydoom.B安装的木马打开的 3127端口传播。
Bagle.L同样通过特征多变的e-mail传播,同时也能通过 P2P文件共享程序传播。Bagle.L携带的木马能打开TCP 2745端口,并试图连接到包含PHP脚本的几个web页面。这样一来,便能告诉其作者它能通过该端口进入被感染计算机。Bagle.L还能影响若干个不同的防病毒程序,终止它们与更新相关的应用程序进程,直到系统日期到达2005年3月25日,才停止相关动作。
Bagle.M也是一个试图连接到包含PHP脚本的web页面的蠕虫病毒,并能下载PHP网页的IP地址清单。和Bagle.L一样,它也能通过终止程序进程的方法来阻止防病毒软件的更新。
Sober.D通过一封英语或德语的e-mail传播,这取决于被感染对象e-mail地址的主域扩展名。它能在具有特定扩展名的文件中搜索e-mail地址,然后利用自身的SMTP引擎将自己发送出去。一旦采取行动,Sober.D很容易通过在屏幕显示的消息被识破。
Cidra.B是一个由垃圾邮件发送的木马,带有一个名为P_USB.ZIP的附件。该恶意代码会打开TCP 5004端口,下载某个文件并在被感染计算机上运行。同时还能作为一个SOCKS4代理服务器,通过被感染计算机将TCP通讯重新定向。
最后,我们来看StarKeylog.A这个黑客工具,它能记录按键,用户名、密码、被访问的网页以及处于激活状态的Windows程序名称。 StarKeylog.A将获取的信息储存到一个加密文件中,然后将其发送出去或保存在特定的网络目录中。
有关这些病毒及其它恶意代码的详细信息,请访问熊猫软件的病毒百科全书: http://www.pandasoftware.com/virus_info/encyclopedia/(完)
