江民4.28病毒播报:网游窃贼和砸波变种

4/28/2009来源:病毒数据库人气:4235

  江民今日提醒您注意:在今天的病毒中Trojan/PSW.OnLineGames.attr“网游窃贼”变种attr和TrojanSpy.Zbot.fnj“砸波”变种fnj值得关注。

  英文名称:Trojan/PSW.OnLineGames.attr
  中文名称:“网游窃贼”变种attr
  病毒长度:18944字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:d85ab1f41f5544553638920b0a18f689
  特征描述:
  Trojan/PSW.OnLineGames.attr“网游窃贼”变种attr是“网游窃贼”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“网游窃贼”变种attr运行后,会在被感染计算机系统的“%SystemRoot%\fonts\”目录下释放随机8位字符文件名的恶意DLL组件“*.nls”。在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在,便会尝试将其结束,从而达到了自我保护的目的。“网游窃贼”变种attr是一个专门盗取“地下城与勇士”网络游戏会员账号的木马程序,运行后会首先确认自身是否已经被插入到游戏进程“DNF.exe”和“QQLOGIN.EXE”中。一旦插入成功,便会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的这些机密信息发送到骇客指定的URL“http://ation.zha*cai.cn/post.asp”、“http://feixiang.zha*cai.cn/107/post.asp”、“http://ation.zha*cai.cn/getmb.asp”上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“网游窃贼”变种attr会通过在注册表键“ShellExecuteHooks”下添加键值的方式,实现木马组件的开机自动运行。

  英文名称:TrojanSpy.Zbot.fnj
  中文名称:“砸波”变种fnj
  病毒长度:409088字节
  病毒类型:间谍木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:c94054b15cb6469a175578b26ce91d81
  特征描述:
  TrojanSpy.Zbot.fnj“砸波”变种fnj是“砸波”间谍木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“砸波”变种fnj运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“oembios.exe”。同时,还会在该文件的尾部添加不定长度的垃圾代码,并修改文件的时间属性为系统安装日期,以此迷惑用户,实现了更好的隐藏效果。“砸波”变种fnj运行时,会将恶意代码注入到“winlogon.exe”进程中隐密运行,从而防止被轻易地查杀。在被感染计算机系统的后台秘密窃取用户的机密信息(包括用户的敏感文件、账户信息等),然后在后台将窃取到的信息发送到骇客指定的远程站点“www.vsedlysn*.ru”上,从而给被感染计算机用户造成了不同程度的损失。该木马还可以下载恶意程序至被感染计算机并自动调用运行,这些恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,从而给用户造成了不同程度的损失。同时,“砸波”变种fnj会修改注册表键值“userinit”,以此实现了木马的开机自启。