日期:2011.1.18
信息源:赛迪网

　　【赛迪网-IT技术讯】在今天的病毒里，需要谨慎防范“友好客户”变种aclc和“通犯”变种rnn。

英文名称：Backdoor/PcClient.aclc

中文名称：“友好客户”变种aclc

病毒长度：204728字节

病毒类型：后门

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：bb8cd9c036bf17dc675d2bf8925e711a

特征描述：

Backdoor/PcClient.aclc“友好客户”变种aclc是“友好客户”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“友好客户”变种aclc运行后，会在被感染系统的“%SystemRoot%\system32\”文件夹下释放恶意DLL组件“ccrmkn.kll”和恶意文件“00047c35.sys”，之后原病毒程序会将自身删除，以此消除痕迹。“友好客户”变种aclc属于反向连接后门程序，其会在被感染系统的后台连接骇客指定的远程站点“yin*ju.3322.org”，获取客户端的IP地址，然后侦听骇客指令，从而达到被远程控制的目的。该后门具有远程监视、控制等功能，可以监视被感染系统用户的一举一动（如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等），还可以窃取、修改或删除计算机中存储的机密信息，从而对用户的信息安全、个人隐私甚至是商业机密构成严重的威胁。感染“友好客户”变种aclc的系统还会成为网络僵尸傀儡主机，利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。另外，“友好客户”变种aclc会在被感染计算机中注册名为“cscmzo”的系统服务，以此实现开机自启。

英文名称：Trojan/Generic.rnn

中文名称：“通犯”变种rnn

病毒长度：77312字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：6781b0be83d99c66eb95b4750db10f6b

特征描述：

Trojan/Generic.rnn“通犯”变种rnn是“通犯”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“通犯”变种rnn会被仿冒成系统文件“lpk.dll”，从而实现随其它应用程序自动加载运行的目的。“通犯”变种rnn运行时，会在被感染系统的临时文件夹下释放前缀为“hrl”的恶意程序并调用运行。其释放的恶意程序在运行时，会将恶意代码注入到新建的“svchost.exe”进程中隐秘运行，从而防止被轻易地查杀。搜集本机的各种信息，并将收集的信息发送到指定的远程站点（站点地址经过加密处理）。访问“www.ody.cc”，下载恶意文件“wpad.dat”并调用运行。判断被感染系统的C盘是否为指定类型，如果是则会遍历其中的所有目录。如果发现exe文件，就将自身复制到exe文件同目录下，重新命名为“lpk.dll”。如果发现rar或zip文件并且其中存在exe文件，便将自身副本“lpk.dll”压缩至其中（文件属性会被设置成“系统”、“隐藏”、“只读”）。“通犯”变种rnn属于某恶意程序集合中的部分功能组件，如果感染此病毒，则说明当前计算机系统中还存在其它病毒。

资料来源：江民科技