江民4.14病毒播报:QQ抢劫犯和网页蛀虫变种

4/14/2009来源:病毒数据库人气:4394

  江民今日提醒您注意:在今天的病毒中Trojan/PSW.QQRobber.agv“QQ抢劫犯”变种agv和Worm/Fujack.ea“网页蛀虫”变种ea值得关注。

  英文名称:Trojan/PSW.QQRobber.agv
  中文名称:“QQ抢劫犯”变种agv
  病毒长度:29184字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:1a285d3d8ddbb152a5d041faccb76ac2
  特征描述:
  Trojan/PSW.QQRobber.agv“QQ抢劫犯”变种agv是“QQ抢劫犯”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“QQ抢劫犯”变种agv运行后,会在被感染计算机系统的“C:\PRogram Files\Common Files\”目录下释放恶意DLL组件“joipor.vxd”,设置文件属性为“系统、只读、隐藏”,某些情况下还会自我复制到该目录下,并重新命名为“rejoice.dll”。“QQ抢劫犯”变种agv运行时,会将释放出的恶意DLL组件“joipor.vxd”插入到系统桌面程序“explorer.exe”和“QQ.exe”等进程中加载运行。在后台执行恶意操作,隐藏自我,防止被轻易地查杀。删除“QQ”的键盘加密组件“npkcrypt.sys”,致使“QQ”失去对用户账号信息的保护。“QQ抢劫犯”变种agv是一个专门盗取即时聊天工具“腾讯QQ”账号和密码的木马程序。运行后,会首先确认自身是否已经被插入到指定进程之中。一旦确认插入成功,便会通过安装消息钩子、线程注入、内存截取等技术,盗取用户输入的账号和密码等机密信息,并在后台将窃取到的信息(包括计算机名、当前IP地址、计算机用户名、QQ账号、QQ密码等)发送到骇客指定的远程服务器站点上(地址加密存放),从而给用户的虚拟财产造成不同程度的损失。同时,“QQ抢劫犯”变种agv运行时,还会在被感染计算机系统的后台连接骇客指定的远程服务器站点,下载指定恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临着不同程度的威胁。另外,“QQ抢劫犯”变种agv会通过修改注册表键“ShellExecuteHooks”的方式实现木马的开机自启。

  英文名称:Worm/Fujack.ea
  中文名称:“网页蛀虫”变种ea
  病毒长度:16384字节
  病毒类型:蠕虫
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:4a2b51c81362f6a6e444d62fd4e76e41
  特征描述:
  Worm/Fujack.ea“网页蛀虫”变种ea是“网页蛀虫”蠕虫家族中的最新成员之一,采用高级语言编写。“网页蛀虫”变种ea运行后,会在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放和系统正常文件同名的恶意驱动程序“ip6fw.sys”,还会自我复制到“%SystemRoot%\system32\”目录下并重新命名为“winlogo.exe”。“网页蛀虫”变种ea运行时,会在被感染计算机系统的后台秘密监视用户的键盘输入,将当前的按键信息、窗口标题等信息记录到“C:\Program Files\log.txt”文件中,并可能会由其它木马在被感染计算机后台将其发送到骇客指定的远程服务器站点上,从而侵犯了用户的个人隐私。同时,“网页蛀虫”变种ea会修改系统注册表,以此实现其开机的自动运行。