江民1.15病毒播报:玛格尼亚和毒波变种病毒

1/15/2009来源:病毒数据库人气:4113

  江民今日提醒您注意:在今天的病毒中Trojan/PSW.Magania.mea“玛格尼亚”变种mea和Trojan/NetBot.f“毒波”变种f值得关注。

  英文名称:Trojan/PSW.Magania.mea
  中文名称:“玛格尼亚”变种mea
  病毒长度:106842字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003

  Trojan/PSW.Magania.mea“玛格尼亚”变种mea是“玛格尼亚”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“玛格尼亚”变种mea运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“kxvo.exe”,同时还会在该目录下释放木马组件“kxvo*.dll”,并设置文件属性为“系统、只读、隐藏”。“玛格尼亚”变种mea会插入到“explorer.exe”进程中,从而实现木马组件的调用运行。该木马组件是一个专门盗取“游戏橘子”会员账号的木马程序,会在被感染计算机的后台秘密监视用户打开的所有网页窗口,一旦发现用户打开“游戏橘子”的登录窗口便会通过键盘钩子、鼠标钩子技术截取用户输入的会员账号、密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定站点(地址加密存放)上,给“游戏橘子”游戏玩家造成了不同程度的财产损失。同时,“玛格尼亚”变种mea还会尝试结束部分安全软件进程,并利用鼠标模拟点击的方式绕过某些安全软件的主动防御功能,提高了自身的生存几率。另外,“玛格尼亚”变种mea会在被感染计算机系统注册表启动项中添加键值,以此实现木马的开机自启动。

  英文名称:Trojan/NetBot.f
  中文名称:“毒波”变种f
  病毒长度:94208字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003

  Trojan/NetBot.f“毒波”变种f是“毒波”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“毒波”变种f运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放木马程序“ntserver.exe”和恶意DLL功能组件“ntserver.dll”,并同时修改这两个文件的创建时间为系统安装日期,以此来蒙蔽用户。调用IE进程,并将自身代码注入到其中运行,隐藏自我,防止被轻易地发现和查杀。“毒波”变种f是一个通过指定的IRC服务器接收骇客指令的木马,侦听骇客指令,从不同站点下载大量恶意程序并调用运行。其中,所下载的恶意程序可能是具有窃取用户账号的木马或远程监控等功能的后门,致使被感染计算机用户面临着更多潜在的威胁。另外,“毒波”变种f会自我注册为系统服务,实现木马开机自动运行。