10月27日病毒播報:木馬盯上反恐精英Online
英文名稱:Trojan/Pincav.guy
中文名稱:“惡推客”變種guy
病毒長度:29072字節
病毒類型:木馬
危險級別:★★
影響平台:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:e5f6b74bb0030fc9ff818a0f9843d2b0
特徵描述:
Trojan/Pincav.guy“惡推客”變種guy是“惡推客”家族中的最新成員之一,採用“Microsoft Visual C++ 6.0”編寫,經過加殼保護處理。 “惡推客”變種guy運行後,會在被感染系統的“%USERPROFILE%\Local Settings\Temp\”文件夾下釋放惡意DLL組件“kb1021.bin”,然後將其複製到“%SystemRoot% \system\”文件夾下重新命名為“kb1021.dla”。其會將“%SystemRoot%\system32\dsound.dll”重新命名為“dsound.dll.dat”,並且向其中寫入惡意代碼。調用系統DLL組件“sfc_os.dll”中的5號函數,以此關閉Windows文件保護功能。之後,其會將“%SystemRoot%\system32\”文件夾下的“dsound.dll”重新命名為“dsound.dll.NGFL”,然後將“dsound.dll.dat”複製到“%SystemRoot%\system \”和“%SystemRoot%\system32\”文件夾下,重新命名為“dsound.dll”。釋放完成後,原病毒程序會釋放批處理程序並調用運行,以此將自身刪除。 “惡推客”變種guy運行時,會在被感染系統的後台遍歷當前正在運行的所有進程,如果發現指定安全軟件存在,便會嘗試將其強行關閉,以此達到自我保護的目的。 “惡推客”變種guy是一個專門盜取“反恐精英Online”網絡遊戲會員賬號的木馬程序,其會秘密監視系統中所運行程序的窗口標題。一旦發現指定程序啟動,便會利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡遊戲玩家的遊戲賬號、遊戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息,並在後台將竊得的信息發送到駭客指定的遠程站點上(地址加密存放),致使網絡遊戲玩家的遊戲賬號、裝備、物品、金錢等丟失,從而給遊戲玩家造成了不同程度的損失。
英文名稱:Trojan/PSW.Taworm.ael
中文名稱:“毒它蟲”變種ael
病毒長度:104280字節
病毒類型:盜號木馬
危險級別:★
影響平台:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:1bcc19e79114c198e81756fab1f5d366
特徵描述:
Trojan/PSW.Taworm.ael“毒它蟲”變種ael是“毒它蟲”家族中的最新成員之一,採用高級語言編寫,經過加殼保護處理。 “毒它蟲”變種ael運行後,會自我複製到被感染系統的“%SystemRoot%\system32\”文件夾下,重新命名為“fehyj.exe”(文件屬性設置為“隱藏”)。其會將惡意代碼插入到“explorer.exe”進程中隱秘運行,以此隱藏自我,防止被輕易地查殺。 “毒它蟲”變種ael運行時,會在被感染系統的後台連接駭客指定的遠程站點“www.tw*9.com”,獲取惡意程序下載列表,然後下載指定的惡意程序並自動調用運行。其所下載的惡意程序可能為網絡遊戲盜號木馬、遠程控制後門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。另外,“毒它蟲”變種ael會在被感染系統註冊表啟動項中添加鍵值,以此實現開機自動運行。
没有评论:
发表评论