江民5.6病毒播报:魔兽贼和U盘寄生虫变种

5/6/2009来源:病毒数据库人气:4290

  江民今日提醒您注意:在今天的病毒中Trojan/PSW.WOW.xq“魔兽贼”变种xq和Worm/AutoRun.gjl“U盘寄生虫”变种gjl值得关注。

  英文名称:Trojan/PSW.WOW.xq
  中文名称:“魔兽贼”变种xq
  病毒长度:26160字节
  病毒类型:盗号木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:25b3be85b3fd608d79d9791e56d2647e
  特征描述:
  Trojan/PSW.WOW.xq“魔兽贼”变种xq是“魔兽贼”盗号木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“魔兽贼”变种xq运行后,会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放恶意DLL组件“qrqwerwqer.dll”和恶意程序“test.exe”,如果检测到系统中存在某些安全软件时,还会在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“systemd.sys”。在指定游戏目录下释放恶意DLL组件“LPK.dll”,同时复制系统正常文件“%SystemRoot%\system32\LPK.dll”到游戏目录下并重新命名为“DnfText.dll”,另外,“魔兽贼”变种xq还会自我复制为“DNFupdate.exe”。“魔兽贼”变种xq运行时,会利用其释放的恶意驱动程序试图关闭某些安全软件的自保护功能,从而终止其运行,致使用户的计算机系统失去保护。监视当前系统中正在运行的程序的窗口标题,如果发现指定标题的窗口(一些安全类软件)存在,则会自动退出。退出时,其会将自身移动到临时文件夹下并重新命名为“DNFupdate.gif”,从而达到了隐藏自我的目的。“魔兽贼”变种xq是一个专门盗取“地下城与勇士”网络游戏会员账号的木马程序,会随着游戏的启动而自动加载运行。运行后,会首先确认自身是否已经被插入到指定的游戏进程中。一旦插入成功,便会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的信息发送到骇客指定的远程服务器站点“http://gfdgfdgdfgdfgdf*.3322.org/kng”、“http://www.h*1988.com/ok”、“http://dnfpb.33*.org/pp”上(地址加密存放),致使网络游戏玩家的游戏账号、装备等丢失,给游戏玩家造成了不同程度的损失。

  英文名称:Worm/AutoRun.gjl
  中文名称:“U盘寄生虫”变种gjl
  病毒长度:33792字节
  病毒类型:蠕虫
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:d98c41da872bc4ad9f30653c041c564f
  特征描述:
  Worm/AutoRun.gjl“U盘寄生虫”变种gjl是“U盘寄生虫”蠕虫家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“U盘寄生虫”变种gjl运行后,会在被感染计算机系统的“C:\Program Files\”目录下释放经过加壳保护的恶意程序“henaji.pif”(文件属性为“系统、隐藏”),同时还会在“%SystemRoot%\fonts\”目录下释放恶意驱动程序“lstis.sys”。“U盘寄生虫”变种gjl运行时,会关闭“Windows防火墙”服务,并且通过文件映像劫持的方式致使一些安全软件无法正常启动运行。利用释放的恶意驱动程序关闭安全软件的自保护功能,从而轻易地便可终止其运行。篡改注册表键值,致使某些安全软件的监控被关闭,从而严重地降低了被感染系统的安全性。“U盘寄生虫”变种gjl会在被感染计算机系统中的所有分区根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫主程序文件“JO.PIF”,以此实现双击盘符后激活蠕虫,从而达到了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的,给被感染计算机用户造成了更多的威胁。“U盘寄生虫”变种gjl还会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://f.wu*8.com/”,获取恶意程序下载列表“tt.txt”,然后在被感染计算机上下载该文件中所指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户可能遭受更多的侵害。