江民7.31病毒播报:魔兽贼和U盘寄生虫变种

2009/7/31 来源:www.arpun.com 作者:小白

江民今日提醒您注意:在今天的病毒中Trojan/PSW.WOW.alc“魔兽贼”变种alc和Worm/AutoRun.ikn“U盘寄生虫”变种ikn值得关注。

  英文名称:Trojan/PSW.WOW.alc

  中文名称:“魔兽贼”变种alc

  病毒长度:61440字节

  病毒类型:盗号木马

  危险级别:★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:55f5ceda3004c31f57d582ee3b7805ce

  特征描述:

  Trojan/PSW.WOW.alc“魔兽贼”变种alc是“魔兽贼”盗号木马家族中的最新成员之一, 采用“Microsoft Visual C++ 6.0”编写。 “魔兽贼”变种alc运行后, 会自我复制到被感染系统的“C:\Program Files\ThunMail\”目录下, 重新命名为“testabd.exe”。 同时, 还会在该目录下释放恶意DLL组件“testabd.dll”, 并将上述文件及文件夹的属性设置为“系统、隐藏、只读”。 文件释放完成后, 其会将自身删除, 以此消除痕迹。 “魔兽贼”变种alc是一个专门盗取“魔兽世界”网络游戏会员账号的木马程序, 运行后会插入到“explorer.exe”等用户级权限的进程中加载运行。 插入指定的游戏进程, 读取“config.wtf”的相关信息, 通过消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息, 并在后台将窃得的机密信息发送到骇客指定的收信页面“http://www.c*168.net/zh369wow/wow.asp”上(地址加密存放), 致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失, 给游戏玩家造成了不同程度的财产损失。 “魔兽贼”变种alc还会在用户访问“msn”、“魔兽世界”、“Google”、“雅虎”等网站时, 截取用户输入的账号和密码并发送到指定的服务器上, 以此造成用户私密信息的泄露。 另外, “魔兽贼”变种alc会通过在被感染系统注册表启动项中添加键值“svc”以及修改“AppInit_DLLs”键值的方式实现开机自动运行。

  英文名称:Worm/AutoRun.ikn

  中文名称:“U盘寄生虫”变种ikn

  病毒长度:208896字节

  病毒类型:蠕虫

  危险级别:★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  MD5 校验:effc0d6a2a63eebd39e6bce765af276f

  特征描述:

  Worm/AutoRun.ikn“U盘寄生虫”变种ikn是“U盘寄生虫”蠕虫家族中的最新成员之一, 采用“Microsoft Visual Basic 5.0 / 6.0”编写。 “U盘寄生虫”变种ikn的图标为“Windows xp”默认的文件夹样式, 运行后会自我复制到被感染系统的“C:\windows\debug\”目录下, 重新命名为“winllg.exe”、“winlng.exe”和“k,.exe”, 文件属性设置为“系统、隐藏、只读”。 还会自我复制到“当前系统用户”和“所有用户”的开始菜单“启动”文件夹下, 及时下载要相关专杀工具:www.arpun.com 并重新命名为“winh.exe”和“s,.exe”, 以此实现开机后的自动运行。 “U盘寄生虫”变种ikn运行时, 会检测当前系统中是否存在可移动存储设备。 一旦发现有此类设备, 便会将该设备下的所有文件夹及子文件夹设置为“隐藏”属性, 同时自我复制到其中并以这些文件夹的名称命名, 从而诱骗用户点击运行。 “U盘寄生虫”变种ikn还会进行下载恶意程序或者窃取用户信息等恶意行为, 对用户造成了更多的侵害。 另外, 其会通过在被感染系统注册表启动项中添加键值“Sumanya”的方式实现开机自启。

网友评论
评论(...
全部评论