江民2.21病毒播报:地穴和网游窃贼变种

2/21/2009来源:病毒数据库人气:4327

  江民今日提醒您注意:在今天的病毒中Trojan/Crypt.baf“地穴”变种baf和Trojan/PSW.OnLineGames.arek“网游窃贼”变种arek值得关注。

  英文名称:Trojan/Crypt.baf
  中文名称:“地穴”变种baf
  病毒长度:687179字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:1aa6ca976ba6ab17f0f2b96995312d1c
  特征描述:
  Trojan/Crypt.baf“地穴”变种baf是“地穴”木马家族中的最新成员之一,采用高级语言编写,经过加壳保护处理,是一个多功能的远程控制木马服务器端。“地穴”变种baf运行后,会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\”目录下和“%SystemRoot%\system32\”目录下分别释放木马程序和恶意DLL功能组件(文件名随机生成)。尝试与控制端(Hc***585.3322.org:3315)进行连接,致使被感染计算机沦为骇客的傀儡主机。骇客通过该木马可以向被感染的计算机发送任意的恶意指令、执行任意的操作,其中包括文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、鼠标控制、音视频监控(包括对摄像头的控制)等,给用户的个人隐私甚至是商业机密造成了严重的侵害。骇客还可以向被感染计算机发送大量的病毒、木马、流氓软件等恶意程序,致使用户面临更多的威胁。同时,“地穴”变种baf还具备了反调试功能,并且在主程序执行完成后会通过调用批处理的方式将自身进行删除,以此达到了消除痕迹、提高自身生存几率的目的。另外,“地穴”变种baf会通过注册系统服务的方式来实现其所释放的DLL组件的开机自启。

  英文名称:Trojan/PSW.OnLineGames.arek
  中文名称:“网游窃贼”变种arek
  病毒长度:245760字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:292e4519c7014cbca2f80e82870091c9
  特征描述:
  Trojan/PSW.OnLineGames.arek“网游窃贼”变种arek是“网游窃贼”盗号木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该盗号木马是由其它恶意程序释放出来的DLL组件,一般会被插入到系统桌面程序“explorer.exe”等几乎所有的进程中加载运行,并在后台执行恶意操作,隐藏自我,防止被轻易地查杀。“网游窃贼”变种arek是一个专门盗取“QQ三国Online”网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中运行的所有应用程序的窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的信息发送到骇客指定的远程服务器站点“http://1.sanguowiusgf1***0.cn/postly/post.asp”、“http://2.sanguopqoeix2***0.cn/lym/037jghdff/post.asp”等上面(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“网游窃贼”变种arek会修改系统注册表启动项,以此实现开机自动运行。