江民14日病毒播报:注意“传奇窃贼”变种gwk

6/14/2008来源:病毒数据库人气:4000

  江民今日提醒您注意:在6月14日的病毒中Rootkit.Qandr.c“圈蛀”变种c和Trojan/PSW.LMir.gwk“传奇窃贼”变种gwk值得关注。

  病毒名称:Rootkit.Qandr.c
  中 文 名:“圈蛀”变种c
  病毒长度:172032字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003

  Rootkit.Qandr.c“圈蛀”变种c是“圈蛀”木马家族的最新成员之一,采用汇编语言编写,并经过加壳保护处理。“圈蛀”变种c运行后,在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放一个恶意的驱动程序文件“qandr.sys”。将“qandr.sys”注册为系统服务,实现木马开机自动运行。利用Rootkit技术,采用“SSDT HOOK”技术挂接了系统中的“NtEnumerateKey”和“NtOpenKey”API函数,采用“FSD inline HOOK”技术挂接了系统文件过滤驱动中的“IRP_MJ_DIRECTORY_CONTROL”请求,隐藏自我,防止被查杀。“圈蛀”变种c可能是一个驱动级的后门程序,会给被感染计算机用户带来潜在的危险,同时会带去不同程度的损失。另外,“圈蛀”变种c会在系统临时文件夹下创建一个批处理程序文件,当恶意驱动程序文件“qandr.sys”安装完毕后调用这个批处理程序实现自我删除。

  病毒名称:Trojan/PSW.LMir.gwk
  中 文 名:“传奇窃贼”变种gwk
  病毒长度:83249字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003

  Trojan/PSW.LMir.gwk“传奇窃贼”变种gwk是“传奇窃贼”木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“传奇窃贼”变种gwk运行后,自我插入到被感染计算机中的某些系统进程内加载运行,隐藏自我,防止被查杀。修改注册表,实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取《传奇世界》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息,并在后台将玩家信息发送到骇客指定的远程服务器上,致使《传奇世界》游戏玩家的游戏帐号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“传奇窃贼”变种gwk会强行删除系统中的HOSTS文件,防止用户把该木马的收信地址加入到具有“域名映像劫持”功能的HOSTS文件中,以便正常接收到盗取的玩家帐号等信息。