谨防“视频宝宝”变种aaje安插恶意插件
2011年09月20日 15:26
近日,江民反病毒中心截获了“视频宝宝”变种aaje。
据江民反病毒专家介绍,TrojanDropper.VB.aaje“视频宝宝”变种aaje是“视频宝宝”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写。“视频宝宝”变种aaje运行后,在被感染系统的“%programfiles%common files”文件夹下释放恶意图标文件“t.ico”、“d.ico”。文件属性设置为“系统、隐藏”。在被感染系统的用户桌面释放恶意快捷方式“internet explorer.hdh”、“在线小游戏.hyx”、“看电影.hpf”、“网上购物.htb”、“上网导航.h35”、“图片新闻.hli”,同时将这些文件对应复制到文件夹“Documents and SettingsAll Users“开始”菜单”下。设置这些图标的权限,使用户不能够删除。在注册表中创建“*.hdh”、“*.hyx”、“*.hpf”、“*.htb”、“*.h35”、“*.hli”等类型文件的关联信息,修改默认图标分别为IEXPLORE.EXE、SHELL32.dll、SHELL32.dll、t.ico、d.ico、SHELL32.dll,修改对应的打开命令的键值,从而达到用户双击运行对应类型的文件时会通过IE访问“http://www.he**uo.com/?1121 ”、“http://www.d**d.com/?1121”、“http://www.pi**ng.net/?1121”、“http://taobao.lo**o.com/?1121”、“http://www.35**.com/?1121”、“http://www.lo**o.com/?1121”的目的。还会在当前目录下释放恶意程序“网聚.exe”和“jies.bak.vbs”。
据悉“视频宝宝”变种aaje运行时,还会在用户的计算机系统中安装被称为“风影影视”的软件,这是一款网络电视程序。当运行恶意程序“网聚.exe”时,其会提供若干人体艺术网站浏览入口。还具有进程守护功能,当发现主程序被调试的时候,会强行结束运行。“视频宝宝”变种aaje在运行完成后会创建批处理文件并在后台调用执行,以此将自身删除。
(编辑:Jesse)
