江民10.11病毒播报:玛格尼亚和黑壳变种

10/11/2009来源:病毒数据库人气:4256

  江民今日提醒您注意:在今天的病毒中Trojan/PSW.Magania.vbu“玛格尼亚”变种vbu和Backdoor/DarkShell.de“黑壳”变种de值得关注。

  英文名称:Trojan/PSW.Magania.vbu
  中文名称:“玛格尼亚”变种vbu
  病毒长度:103424字节
  病毒类型:盗号木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:e1af73c142825489e49db318db04b46d
  特征描述:
  Trojan/PSW.Magania.vbu“玛格尼亚”变种vbu是“玛格尼亚”盗号木马家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件,经过加壳保护处理。“玛格尼亚”变种vbu被木马主程序释放后,通常会被注入到“explorer.exe”等进程中执行恶意操作。“玛格尼亚”变种vbu是一个盗取“十二之天贰 Online”、“传奇3 Online”、“冒险岛”等网络游戏会员账号的木马程序,其会通过安装消息钩子的方式监视用户当前的系统状况。插入相应的游戏进程中,利用鼠标键盘钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的这些机密信息发送到攻击者指定的游戏收信页面“http://bfgtu*.com/hhz/htc/lin.asp”等上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。“玛格尼亚”变种vbu会篡改注册表,致使用户系统中“显示系统隐藏文件”功能失效。同时,还会通过可移动存储设备的自动播放功能进行传播,并且通过连接指定URL“http://kioytrf*.com/xhg2/ll1.rar”的方式进行自我更新。

  英文名称:Backdoor/DarkShell.de
  中文名称:“黑壳”变种de
  病毒长度:42304字节
  病毒类型:后门
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:7977586f42510741563539ff670933ba
  特征描述:
  Backdoor/DarkShell.de“黑壳”变种de是“黑壳”后门家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“黑壳”变种de运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”文件夹下,重新命名为“WinHeSyta.exe”,文件属性设置为“系统、隐藏”。还可能释放恶意驱动程序“PCIDump.sys”至“%SystemRoot%\system32\drivers\”文件夹下,从而用以恢复系统服务描述表。“黑壳”变种de以服务的方式运行后,会将恶意代码注入到新创建的进程“svchost.exe”的内存空间中调用运行。不断尝试与控制端(地址为:y7.33*.org:2589)进行连接,如果连接成功,则被感染的计算机便会成为受到骇客控制的肉鸡。骇客可以进行多种操作,例如向指定的ip地址发起DDos攻击、连接指定网站以增加网站访问量、下载其它恶意程序并调用运行等,从而对用户的信息安全构成了严重的威胁。另外,“黑壳”变种de会在被感染计算机中注册名为“WinHelpping”的系统服务,以此实现后门的开机自启(服务名称显示为“Windows ping SystemS”)。