“白金远控”木马(Trojan-PSW.Win32.Bjlog.hvc)

银行木马Gugi新变种绕过安卓6．0的保护机制
佚名
【期刊名称】《中国信息安全》
【年(卷),期】2016(0)10
【摘要】近期，某国外安全团队发现移动银行木马Gugi的新变种病毒Gugi．c，该病毒变种能够绕过安卓6．0中新添加的两个安全功能：应用程序覆盖权限和对危险应用程序活动的动态权限清求。

【总页数】1页(P12-12)
【关键词】移动银行;保护机制;木马;新变种;应用程序;安全功能;变种病毒;程序覆盖【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.短信消费须防"新陷阱"/登陆"互联星空"勿忘网络安全/木马病毒出现新变种/警惕网络"中奖"骗局 [J],
2.警惕!安卓新型变种病毒专黑手机银行App [J], ;
3.安卓新漏洞遭遇控制型木马“索马里海盗” [J], 周建峰
4.病毒名称：安德夫木马变种GAS（Trojan．Win32．Undef．gas） [J],
5.广告类恶意木马程序新变种被发现——国家计算机病毒中心监测发现广告类恶意木马程序新变种 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。

特洛伊木马Win32.Puper.JZ篡改浏览器主页-电脑资料
Win32.Puper.JZ病毒特征
病毒名称：Win32.Puper.JZ
疯狂性：低
破坏性：低
普及度：低
Win32.Puper.JZ病毒描述：
Win32.Puper.JZ是一种特洛伊木马病毒，它会篡改被感染机器IE 浏览器的主页及默认搜索页面地址，。

同时还监控被感染机器所访问的网站。

病毒文件是大小为13,824字节的Win32可运行程序。

运行时，病毒会在系统目录%System%中复制下列病毒副本文件：HHK.DLL
intmonp.exe
hp.tmp
注：< xxxx >是四位随机产生的十六进制数值，
电脑资料
《特洛伊木马Win32.Puper.JZ篡改浏览器主页》(https://www.)。

例如：hpAB3E.tmp。

Win32.Puper.JZ病毒危害：
Win32.Puper.JQ通过修改注册表键值，篡改用户IE主页、搜索页面和Search Bar；
监控互联网活动；
删除系统中的BHO（Browser Helper Objects）。

建议：（这个都是一样的）
不要随意运行EXE文件；
系统设置强壮的管理员口令。

“KILL”提示大家：
1.不要随意运行邮件的附件，尤其是英文邮件。

2.最好及时升级病毒代码库。

3.建议企业级用户使用网关型产品。

4.关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

目前流行的电脑病毒有哪些电脑病毒、木马的数量依然保持着高速增长，目前主要流行的电脑病毒有哪些呢?下面由店铺给你做出详细的目前流行的电脑病毒介绍!希望对你有帮助!目前流行的电脑病毒介绍：一、机器狗病毒名称：Trojan.Psw.Onlinegame.Dog 病毒中文名：QQ大盗病毒类型：木马危险级别：影响平台：Win9X/2000/XP/NT/Me 描述：机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”，该病毒变种繁多，多表现为杀毒软件无法正常运行。

该病毒的主要危害是充当病毒木马下载器，与AV终结者病毒相似，病毒通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给用户电脑带来严重的威胁。

机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件(比如explorer.exe，userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点，影子等还原系统软件导致大量网吧(网吧联盟网吧新闻搜狗)用户感染病毒，无法通过还原来保证系统的安全;通过修复SSDT(就是恢复安全软件对系统关键API的HOOK)，映像挟持，进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马给广大网民的网络虚拟财产造成巨大威胁，部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP 欺骗影响网络安全。

二、磁碟机病毒名称：Trojan.Psw.Onlinegame.Dog 病毒中文名：QQ大盗病毒类型：木马危险级别：影响平台：Win9X/2000/XP/NT/Me 简介:电脑感染“磁碟机”变种病毒后，症状表现为运行任意程序时系统经常性死机或长时间卡住不动，病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。

被感染的文件图标变为16位图标，图标变得模糊，类似马赛克状。

【导读】本文含概了windows几乎所有常见的病毒、木马的进程名程，检查你的系统进程，看看是否中招。

exe → BF Evolution Mbbmanager.exe →聪明基因_.exe → Tryit Mdm.exe → Doly 1.6-1.7Aboutagirl.exe →初恋情人 Microsoft.exe →传奇密码使者Absr.exe → Backdoor.Autoupder Mmc.exe →尼姆达病毒Aplica32.exe →将死者病毒 Mprdll.exe → BlaAvconsol.exe →将死者病毒 Msabel32.exe → Cain and AbelAvp.exe →将死者病毒 Msblast.exe →冲击波病毒Avp32.exe →将死者病毒 Mschv.exe → ControlAvpcc.exe →将死者病毒 Msgsrv36.exe → ComaAvpm.exe →将死者病毒 Msgsvc.exe →火凤凰Avserve.exe →震荡波病毒 Msgsvr16.exe → Acid ShiverBbeagle.exe →恶鹰蠕虫病毒 Msie5.exe → CanassonBrainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livupCfiadmin.exe →将死者病毒 Mstesk.exe → Doly 1.1-1.5Cfiaudit.exe →将死者病毒 Netip.exe → Spirit 2000 BetaCfinet32.exe →将死者病毒 Netspy.exe →网络精灵Checkdll.exe →网络公牛 Notpa.exe → BackdoorCmctl32.exe → Back Construction Odbc.exe → TelecommandoCommand.exe → AOL Trojan Pcfwallicon.exe →将死者病毒Diagcfg.exe →广外女生 Pcx.exe → XplorerDkbdll.exe → Der Spaeher Pw32.exe →将死者病毒Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeapDvldr32.exe →口令病毒 Regscan.exe →波特后门变种Esafe.exe →将死者病毒 Tftp.exe →尼姆达病毒Expiorer.exe → Acid Battery Thing.exe → ThingFeweb.exe →将死者病毒 User.exe → SchwindlerFlcss.exe → Funlove病毒 Vp32.exe →将死者病毒Frw.exe →将死者病毒 Vpcc.exe →将死者病毒Icload95.exe →将死者病毒 Vpm.exe →将死者病毒Icloadnt.exe →将死者病毒 Vsecomr.exe →将死者病毒Icmon.exe →将死者病毒 Server.exe → Revenger, WinCrash, YAT Icsupp95.exe →将死者病毒 Service.exe → TrinooIexplore.exe →恶邮差病毒 Setup.exe →密码病毒或Xanadu Rpcsrv.exe →恶邮差病毒 Sockets.exe → VampireRundll.exe → SCKISS爱情森林 Something.exe → BladeRunner Rundll32.exe→狩猎者病毒 Spfw.exe →瑞波变种PX Runouce.exe →中国黑客病毒 Svchost.exe (线程105) →蓝色代码Scanrew.exe →传奇终结者 Sysedit32.exe → SCKISS爱情森林Scvhost.exe →安哥病毒 Sy***plor.exe → wCratServer 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe →冰河Intel.exe →传奇叛逆 Syshelp.exe →恶邮差病毒Internet.exe →传奇幽灵 Sysprot.exe → Satans Back DoorInternet.exe →网络神偷 Sysrunt.exe → RipperKernel16.exe → Transmission Scount System.exe → s**tHeapKernel32.exe →坏透了或冰河 System32.exe → DeepThroat 1.0Kiss.exe →传奇天使 Systray.exe → DeepThroat 2.0-3.1Krn132.exe →求职信病毒 Syswindow.exe → Trojan CowLibupdate.exe → BioNet Task_Bar.exe → WebExLoad.exe →尼姆达病毒 Taskbar →密码病毒 FrethemLockdown2000.exe →将死者病毒 Taskmon.exe →诺维格蠕虫病毒Taskmon32 →传奇黑眼睛 Tds2-98.exe →将死者病毒Tds2-Nt.exe →将死者病毒 Temp $01.exe → SnidTempinetb00st.exe → The Unexplained Tempserver.exe → Delta SourceVshwin32.exe →将死者病毒 Vsstart.exe →将死者病毒Vw32.exe →将死者病毒 Windown.exe → Spirit 2000 1.2Windows.exe →黑洞2000 Winfunctions.exe → Dark ShadowWingate.exe →恶邮差病毒 Wink????.exe →求职信病毒Winl0g0n.exe →笑哈哈病毒 Winmgm32.exe →巨无霸病毒Winmsg32.exe → Xtcp Winprot.exe → ChupachbraWinprotecte.exe → Stealth Winrpc.exe →恶邮差病毒Winrpcsrv.exe →恶邮差病毒 Winserv.exe → SoftwarstWubsys.exe →传奇猎手 Winupdate.exe → Sckiss爱情森林Winver.exe → Sckiss爱情森林 Winvnc.exe →恶邮差病毒Winzip.exe → ShadowPhyre Wqk.exe →求职信病毒常见病毒、木马进程速查exe → BF Evolution Mbbmanager.exe →聪明基因_.exe → Tryit Mdm.exe → Doly 1.6-1.7Aboutagirl.exe →初恋情人 Microsoft.exe →传奇密码使者Absr.exe → Backdoor.Autoupder Mmc.exe →尼姆达病毒Aplica32.exe →将死者病毒 Mprdll.exe → BlaAvconsol.exe →将死者病毒 Msabel32.exe → Cain and Abel Avp.exe →将死者病毒 Msblast.exe →冲击波病毒Avp32.exe →将死者病毒 Mschv.exe → ControlAvpcc.exe →将死者病毒 Msgsrv36.exe → ComaAvpm.exe →将死者病毒 Msgsvc.exe →火凤凰Avserve.exe →震荡波病毒 Msgsvr16.exe → Acid Shiver Bbeagle.exe →恶鹰蠕虫病毒 Msie5.exe → CanassonBrainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup Cfiadmin.exe →将死者病毒 Mstesk.exe → Doly 1.1-1.5 Cfiaudit.exe →将死者病毒 Netip.exe → Spirit 2000 Beta Cfinet32.exe →将死者病毒 Netspy.exe →网络精灵Checkdll.exe →网络公牛 Notpa.exe → BackdoorCmctl32.exe → Back Construction Odbc.exe → Telecommando Command.exe → AOL Trojan Pcfwallicon.exe →将死者病毒Diagcfg.exe →广外女生 Pcx.exe → XplorerDkbdll.exe → Der Spaeher Pw32.exe →将死者病毒Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeapDvldr32.exe →口令病毒 Regscan.exe →波特后门变种Esafe.exe →将死者病毒 Tftp.exe →尼姆达病毒Expiorer.exe → Acid Battery Thing.exe → ThingFeweb.exe →将死者病毒 User.exe → SchwindlerFlcss.exe → Funlove病毒 Vp32.exe →将死者病毒Frw.exe →将死者病毒 Vpcc.exe →将死者病毒Icload95.exe →将死者病毒 Vpm.exe →将死者病毒Icloadnt.exe →将死者病毒 Vsecomr.exe →将死者病毒Icmon.exe →将死者病毒 Server.exe → Revenger, WinCrash, YAT Icsupp95.exe →将死者病毒 Service.exe → TrinooIexplore.exe →恶邮差病毒 Setup.exe →密码病毒或Xanadu Rpcsrv.exe →恶邮差病毒 Sockets.exe → VampireRundll.exe → SCKISS爱情森林 Something.exe → BladeRunner Rundll32.exe→狩猎者病毒 Spfw.exe →瑞波变种PX Runouce.exe →中国黑客病毒 Svchost.exe (线程105) →蓝色代码Scanrew.exe →传奇终结者 Sysedit32.exe → SCKISS爱情森林Scvhost.exe →安哥病毒 Sy***plor.exe → wCratServer 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe →冰河Intel.exe →传奇叛逆 Syshelp.exe →恶邮差病毒Internet.exe →传奇幽灵 Sysprot.exe → Satans Back Door Internet.exe →网络神偷 Sysrunt.exe → RipperKernel16.exe → Transmission Scount System.exe → s**tHeapKernel32.exe →坏透了或冰河 System32.exe → DeepThroat 1.0 Kiss.exe →传奇天使 Systray.exe → DeepThroat 2.0-3.1 Krn132.exe →求职信病毒 Syswindow.exe → Trojan Cow Libupdate.exe → BioNet Task_Bar.exe → WebExLoad.exe →尼姆达病毒 Taskbar →密码病毒 Frethem Lockdown2000.exe →将死者病毒 Taskmon.exe →诺维格蠕虫病毒Taskmon32 →传奇黑眼睛 Tds2-98.exe →将死者病毒Tds2-Nt.exe →将死者病毒 Temp $01.exe → SnidTempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source Vshwin32.exe →将死者病毒 Vsstart.exe →将死者病毒Vw32.exe →将死者病毒 Windown.exe → Spirit 2000 1.2 Windows.exe →黑洞2000 Winfunctions.exe → Dark Shadow Wingate.exe →恶邮差病毒 Wink????.exe →求职信病毒Winl0g0n.exe →笑哈哈病毒 Winmgm32.exe →巨无霸病毒Winmsg32.exe → Xtcp Winprot.exe → Chupachbra Winprotecte.exe → Stealth Winrpc.exe →恶邮差病毒Winrpcsrv.exe →恶邮差病毒 Winserv.exe → Softwarst Wubsys.exe →传奇猎手 Winupdate.exe → Sckiss爱情森林Winver.exe → Sckiss爱情森林 Winvnc.exe →恶邮差病毒Winzip.exe → ShadowPhyre Wqk.exe →求职信病毒Wscan.exe → AttackFTP Xx.Tmp.exe →尼姆达病毒Zcn32.exe → Ambush Zonealarm.exe →将死者病毒Wscan.exe → AttackFTP Xx.Tmp.exe →尼姆达病毒Zcn32.exe → Ambush Zonealarm.exe →将死者病毒。

电脑病毒网游大盗以Trojan/PSW.GamePass.hvs为例，“网游大盗”变种hvs是一个木马程序，专门盗取网络游戏玩家的帐号、密码、装备等。

下面由店铺给你对网游大盗病毒做出详细的介绍!希望对你有帮助!网游大盗编辑病毒名称：Trojan/PSW.GamePass病毒中文名：网游大盗病毒类型：木马危险级别：影响平台：Win 9X/ME/NT/2000/XP/2003描述：以Trojan/PSW.GamePass.hvs为例，“网游大盗”变种hvs是一个木马程序，专门盗取网络游戏玩家的帐号、密码、装备等。

2变种bu编辑病毒名称：Trojan/PSW.GamePass.bu中文名：“网游大盗”变种bu病毒长度：可变病毒类型：木马危害等级：影响平台：Win 9X/ME/NT/2000/XP/2003描述：Trojan/PSW.GamePass.bu“网游大盗”变种bu是一个利用网络共享进行传播的木马程序。

“网游大盗”变种bu运行后，在Windows目录下创建病毒副本和一个木马下载器。

修改注册表，实现开机自启。

将病毒文件注入到IEXPLORE.EXE或EXPLORER.EXE的进程中，隐藏自我，防止被查杀。

连接指定站点，侦听黑客指令，下载并执行特定文件，终止某些与安全相关的服务，降低被感染计算机上的安全设置。

遍历用户计算机的C到Y驱动器，搜索共享文件夹，一经发现便利用空用名和空密码打开共享文件夹，并自我复制到共享文件夹下，感染该文件夹下所有.exe文件，实现网络共享传播。

3代理变种sq编辑病毒名称：Backdoor/Agent.sq中文名：“代理”变种sq病毒长度：可变病毒类型：后门危害等级：影响平台：Win 9X/ME/NT/2000/XP/2003描述：Backdoor/Agent.sq“代理”变种sq是一个从黑客指定站点下载其它病毒的后门。

“代理”变种sq运行后，自我复制到系统目录下。

侦听黑客指令，开启TCP 25端口，连接黑客指定站点，下载其它病毒，并在被感染计算机上自动运行。

所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序/Huigezi.2008.qef中文名称:""变种qef病毒长度:276505字节病毒类型:后门危险级别:?影响平台:Win9X/ME/NT/2000/XP/2003MD5校验:f76d4e58ab1bbad03736de5848f2bac0特征描述:Backdoor/Huigezi.2008.qef""变种qef是""家族中的最新成员之一，采用"delphi"语言编写，并且经过加壳保护处理。

""变种qef运行后，会自我复制到被感染计算机系统的"%SystemRoot%\"文件夹下，并重命名为".exe"，文件属性设置为"系统、隐藏、只读"。

""变种qef会在被感染计算机的后台调用系统IE浏览器进程"iexplore.exe"，并把恶意代码注入其中调用执行，隐藏自我，防止被查杀。

如果被感染的计算机上已安装并启用了防火墙，则该后门会利用防火墙的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。

""变种qef属于反向连接后门程序，会在被感染计算机系统的后台连接攻击者指定的远程服务器站点，获取远程控制端真实地址，然后侦听攻击者指令，从而达到被攻击者远程控制的目的。

该后门具有远程监视、控制等功能，可以对被感染计算机系统中存储的文件进行任意操作，监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可以窃取、修改或删除用户计算机中存放着的机密信息，对用户的信息安全、个人隐私，甚至是商业机密构成了严重的威胁。

用户计算机一旦感染了""变种qef便会变成网络僵尸傀儡主机，攻击者利用这些傀儡主机可对指定站点发起DDoS攻击、洪水攻击等。

解读龙之谷盗号木马Trojan-PSW.Win32.请大家注意一下，不要牺牲咯! 龙之谷盗号木马Trojan-PSW.Win32.OnLineGames.d 捕获时间2010-9-13 危害等级中病毒症状该样本是使用“VC ”编写的盗号木马，用Upack加壳。

由微点主动防御软件自动捕获，长度为“25,436 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为盗取网络游戏“龙之谷”的“用户名”、“密码”等相关信息。

用户中毒后，会出现“龙之谷” 游戏无故关闭、输入用户名、密码、密保时游戏运行缓慢的现象，最终将导致虚拟财产被黑客盗取。

感染对象Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7 传播途径文件捆绑、网页挂马、下载器下载未安装杀毒软件主动防御软件的手动解决办法：1、手动删除以下文件：%Temp%TML4.tmp %SystemRoot%system32d3d9.dll.tmpz %Sy stemRoot%system32d3d9.dll %SystemRoot%system32DllCached3d9.dll%SystemRoot%system32DllCached3d9.dll.tmpx 2、手动更改以下文件用正常的d3d9.dll替换被感染的%SystemRoot%system32d3d9.dll %SystemRoot%system32DllCached3d9.dll 变量声明：%SystemDriver% 系统所在分区，通常为“C:” %SystemRoot% WINDODWS所在目录，通常为“C:Windows” %Documents and Settings% 用户文档目录，通常为“C:Documents and Settings” %Temp% 临时文件夹，通常为“C:Documents and Settings当前用户名称LocalSettingsTemp” %ProgramFiles% 系统程序默认安装目录，通常为：“C:ProgramFiles”病毒分析1、病毒利用sc.exe打开服务，结束并删除cryptsvc服务，并且不让此服务随机启动，从而关闭系统认证保护功能; 2、查找临时文件夹路径，在%Temp%下创建文件TML4.tmp,提升自身进程权限; 3、建立进程快照，遍历进程查找explorer.exe,然后将TML4.tmp的进程注入explorer.exe，以达到隐藏自身进程目的; 4、获取系统路径，查找系统文件%SystemRoot%system32d3d9.dll，找到后将其复制为d3d9.dll.tmpz，并且重写该文件,完成后将系统文件d3d9.dll重命名为d3d9.dll.tmpx，并将感染后的%SystemRoot%system32 d3d9.dll.tmpz复制为%SystemRoot%system32d3d9.dll和%SystemRoot%system32DllCached3d9.dll,DLLCache文件夹中原来正常d3d9.dll重命名为d3d9.dll.tmpx,完成后删除%SystemRoot%system32d3d9.dll.tmpx; 5、查找系统文件sfc-os.dll,破坏Windows文件保护。

Trojan.Win32病毒名称：Trojan.win32.中文名：冲击波病毒长度：可变病毒类型：木马危害等级：★影响平台：Win 9X/NT/WIN95/XP/WIN98Trojan.win32.DWSchanger.iy 修改注册表，实现开机自启。

在每个文件夹下生成desktop_.ini文件，文件里标记着病毒发作日期。

删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

感染系统的*.exe、*.com、*.pif、*.src、*.ht ml、*.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。

在硬盘各个分区下生成文件autorun.inf和setup.exe，因此“木马”可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行。

搜索硬盘中的*.EXE可执行文件并感染，感染后的文件图标会死机。

解决方案首先是拔下网线，以免病毒升级和变种传输使用PE系统启动删除所有盘符下的病毒文件如autorun.inf使用PE远程注册表查看启动文件并删除启动后使用sreng2删除掉多余的启动项和程序查找出启动的程序和文件删除如果无法删除请使用xdelbox从别的电脑下载drweb-cureit到本机查杀，进行C盘查杀查杀完成请安装drweb专业版升级最新并全盘扫描------------------------------------注意请关闭系统还原删除WINDOWS下的TEMP文件删除IE临时文件删除C:\Documents and Settings\用户名\Local Settings下的临时文件删除不掉的文件请使用xdelbox这个病毒困饶了我很多天，我也是刚刚才找到解决办法。

特此拿来和大家分享。

方法如下：下载一个叫unlocker的软件，很小的，然后安装。

C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的，卡巴应该是能查到这个病毒但是删不了，可以在卡巴里找到这个病毒文件名），右击选择unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。