江民11.7病毒播报:玛格尼亚和BHO劫持者

11/7/2008来源:病毒数据库人气:4099

  江民今日提醒您注意:在今天的病毒中TrojanSpy.Magania.dih“玛格尼亚”变种dih和Trojan/BHO.cmp“BHO劫持者”变种cmp值得关注。

  英文名称:TrojanSpy.Magania.dih
  中文名称:“玛格尼亚”变种dih
  病毒长度:87040字节
  病毒类型:间谍类木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003

  TrojanSpy.Magania.dih“玛格尼亚”变种dih是“玛格尼亚”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL文件,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,在被感染计算机上执行恶意操作,隐藏自我,防止被查杀。“玛格尼亚”变种dih运行时,在被感染计算机的后台秘密监视正在运行的所有窗口标题,一旦发现与安全相关的字符串(如“安全警报”、“网页”)便会强行向其进程循环发送垃圾消息,试图使其出错关闭或自动退出,达到自我保护的目的。“玛格尼亚”变种dih会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏“PlayOnline”玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来极大的损失。“玛格尼亚”变种dih具有自动更新功能,根据骇客指定站点的配置文件来决定自身是否需要升级更新。同时,该木马还会窃取用户“雅虎通(Yahoo! Messenger)”和“Yahoo奇魔”的账号信息,并在后台将窃取到的账号信息发送到骇客指定站点上,给用户带来不同程度的损失。另外,“玛格尼亚”变种dih会通过修改注册表的方式来实现木马开机自启动。

  英文名称:Trojan/BHO.cmp
  中文名称:“BHO劫持者”变种cmp
  病毒长度:69764字节
  病毒类型:木马
  危害等级:★
  影响平台:Win 9X/ME/NT/2000/XP/2003

  Trojan/BHO.cmp“BHO劫持者”变种cmp是“BHO劫持者”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“BHO劫持者”变种cmp运行后,自我复制到被感染计算机系统的“%SystemRoot%\”目录下,并重新命名为“QQshel.exe”。“BHO劫持者”变种cmp冒充Windows系统更新程序,文件属性中的描述为:Windows Updater,公司为:Microsoft)。“BHO劫持者”变种cmp会秘密连接骇客指定的服务器站点“http://4.g*zh*ji*in.com/soft/s1.7/sv.dat”,侦听骇客指令,在被感染的计算机上执行恶意操作。骇客可通过“BHO劫持者”变种cmp远程完全控制被感染的计算机系统,给用户的计算机安全和个人隐私带来严重的威胁,甚至还会对商业机密造成无法挽回的损失。另外,“BHO劫持者”变种cmp会修改注册表,实现木马开机自启动。