病毒播报:Trojan/Montp.e和Trojan/Alupko.c

2009/6/24 来源:www.arpun.com 作者:小白

在今天的病毒中Trojan/Montp.e“冒牌贼”变种e和Trojan/Alupko.c“碍路砖”变种c值得关注。

  英文名称:Trojan/Montp.e

  中文名称:“冒牌贼”变种e

  病毒长度:945464字节

  病毒类型:木马

  危险级别:★

  影响平台:Win9X/ME/NT/2000/XP/2003

  MD5校验:a93362a168fc0f2c77aabdb60b0268c0

  特征描述:

  Trojan/Montp.e“冒牌贼”变种e是“冒牌贼”木马家族中的最新成员之一, 采用高级语言编写, 并且经过加壳保护处理。 “冒牌贼”变种e运行后, 会在被感染计算机系统的“C:\ProgramFiles\WAIGUA\”目录下释放程序“地下城与勇士.EXE”和“dxwg.exe”。 其中“地下城与勇士.EXE”是一个没有实际功能的假外挂, 而“dxwg.exe”是一个专门窃取“地下城与勇士”网络游戏账号与密码的木马程序。 该木马会在被感染系统的“%USERPROFILE%\LocalSettings\Temp\”目录下释放恶意DLL组件“SysDir.dat”, 文件属性设置为“系统、隐藏”。 在“地下城与勇士”游戏目录下释放冒充系统正常组件“LPK.DLL”的恶意文件, 同时复制系统组件“LPK.DLL”到该目录下并且重新命名为“DnfText.dll”。 “冒牌贼”变种e在安装完毕后便会将自身移动到“%USERPROFILE%\LocalSettings\Temp\”目录下, 重新命名为“DNFupdate.exe”, 从而避免被用户轻易地发现。 网络游戏“地下城与勇士”启动后, 会自动加载木马组件。 下载专杀软件:www.arpun.com 木马组件运行后会首先确认自身是否已经被插入到系统桌面进程“explorer.exe”和游戏进程“DNF.exe”中。 如果已经插入成功, 便会通过安装钩子、内存截取的方式来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息, 并在后台将窃得的信息发送到骇客指定的远程服务器站点地址加密存放)上, 致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失, 给游戏玩家造成了不同程度的损失。

  英文名称:Trojan/Alupko.c

  中文名称:“碍路砖”变种c

  病毒长度:18432字节

  病毒类型:木马

  危险级别:★

  影响平台:Win9X/ME/NT/2000/XP/2003

  MD5校验:f3fb95dce4047c189be0f6b8b180f4d2

  特征描述:

  Trojan/Alupko.c“碍路砖”变种c是“碍路砖”木马家族中的最新成员之一, 采用“MicrosoftVisualC++6.0”编写, 并且经过加壳保护处理。 “碍路砖”变种c运行后, 会自我复制到被感染系统的“%USERPROFILE%”、“%SystemRoot%\system32\drivers\”、“%USERPROFILE%\「开始」菜单\程序\启动\”目录下, 并分别重新命名为“svchost.exe”、“services.exe”、“userinit.exe”。 “碍路砖”变种c运行时, 会强行删除注册表中所有的启动项和浏览器辅助对象。 在被感染系统的后台连接骇客指定的远程服务器站点“http://be*best.cn/”, 下载恶意程序“load.exe”等并自动调用运行, 致使用户面临更多的威胁。 其还会连接“http://stopg*m.cn/”并与该站点交换一些数据, 由此可能会泄露用户的一些敏感信息。 另外, “碍路砖”变种c会通过在系统注册表启动项中添加键值“[system]”、“winlogon”、“UserInit”等方式来实现木马的开机自动运行。

网友评论
评论(...
全部评论