江民5.18病毒播报:D王和QQ大盗变种病毒

5/18/2009来源:病毒数据库人气:4070

  江民今日提醒您注意:在今天的病毒中TrojanDownloader.Dking.b“D王”变种b和Trojan/PSW.QQPass.ahsn“QQ大盗”变种ahsn值得关注。

  英文名称:TrojanDownloader.Dking.b
  中文名称:“D王”变种b
  病毒长度:33280字节
  病毒类型:木马下载器
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:a5420d4fa31a47f575ad9943d57316f4
  特征描述:
  TrojanDownloader.Dking.b“D王”变种b是“D王”木马下载器家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“D王”变种b运行后,会在被感染计算机系统的“%SystemRoot%\fonts”目录下释放恶意驱动程序“kpsp.sys”、“lspnsl.sys”和“rsss.sys”,在“%USERPROFILE%\Local Settings\Temp\”目录下释放恶意DLL组件“dll*.tmp”。利用其释放的恶意驱动程序,关闭大量安全软件的自保护功能并终止其进程,使得用户的计算机系统失去安全软件的防护。强行篡改注册表,致使系统中“显示系统隐藏文件”功能失效以及“安全模式”被破坏。通过文件映像劫持的方式,干扰大量安全软件的启动运行。同时,还会关闭某些安全软件的监控和删除某些安全软件的注册表启动项,从而进一步地增加了被感染计算机所面临的风险。“D王”变种b会在被感染系统中的所有磁盘驱动器根目录下创建“autorun.inf”(自动播放配置文件)和木马主程序文件“JZ.PIF”(“D王”变种b,文件属性为“系统、隐藏”),以此实现双击盘符后激活自身,从而实现了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播,给计算机用户造成了更加严重的威胁。“D王”变种b运行时,会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://g.wuc*.com/”,获取恶意程序下载列表“tt.txt"”,然后在被感染计算机上下载该文件中所指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户遭受更多的侵害。

  英文名称:Trojan/PSW.QQPass.ahsn
  中文名称:“QQ大盗”变种ahsn
  病毒长度:16160字节
  病毒类型:盗号木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:315322eba29fb250b891a0611a5e2b12
  特征描述:
  Trojan/PSW.QQPass.ahsn“QQ大盗”变种ahsn是“QQ大盗”盗号木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“QQ大盗”变种ahsn运行后,会在被感染计算机系统的“%SystemRoot%\fonts”目录下释放恶意DLL组件“ComRes.dll”、“gth69328.ttf”以及保存有加密收信地址等信息的配置文件“gth69328.fon”。“QQ大盗”变种ahsn会将“%SystemRoot%\system32\”目录下的系统文件“ComRes.dll”另存为“sysgth.dll”,释放仿冒的DLL组件“ComRes.dll”至其中,以此实现了随其它程序的启动而加载运行。“QQ大盗”变种ahsn是一个专门盗取“QQ幻想”网络游戏会员账号的木马程序,运行后会首先确认自身是否已经被插入到指定的游戏进程中。如果已经插入成功,则会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码等信息,并在后台将窃取到的这些机密信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。