江民4.23病毒播报:网游窃贼和QQ大盗变种

4/23/2009来源:病毒数据库人气:4446

  江民今日提醒您注意:在今天的病毒中Trojan/PSW.OnLineGames.attu“网游窃贼”变种attu和Trojan/PSW.QQPass.vdd“QQ大盗”变种vdd值得关注。

  英文名称:Trojan/PSW.OnLineGames.attu
  中文名称:“网游窃贼”变种attu
  病毒长度:53248字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:316602c7409c4f1543a3d41a086c0aeb
  特征描述:
  Trojan/PSW.OnLineGames.attu“网游窃贼”变种attu是“网游窃贼”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,是一个由其它恶意程序释放出来的DLL组件。该木马一般会被插入到系统桌面程序“explorer.exe”等进程中加载运行,在后台执行恶意操作,隐藏自我,防止被查杀。“网游窃贼”变种attu还会在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在,便会尝试终止这些安全软件的运行,从而达到自我保护的目的。“网游窃贼”变种attu是一个专门盗取“完美国际”网络游戏会员账号的木马程序,运行后会首先确认自身是否已经被插入到游戏进程“elementclient.exe ”中。如果插入成功,便会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的机密信息发送到骇客指定的远程服务器站点“http://www.fazhan2*9.com/koudaizong/mail.asp”、“http://www.fazhan2*9.com/koudaiwuming/mail.asp”上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“网游窃贼”变种attu可能会通过修改注册表或者注册系统服务的方式实现木马的开机自启动。

  英文名称:Trojan/PSW.QQPass.vdd
  中文名称:“QQ大盗”变种vdd
  病毒长度:32883字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:aa2325727d9a97f72b5c150e80ef1520
  特征描述:
  Trojan/PSW.QQPass.vdd“QQ大盗”变种vdd是“QQ大盗”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“QQ大盗”变种vdd运行后,会自我复制到被感染计算机系统的“C:\PRogram Files\Internet Explorer\”目录下,重新命名为“JsazNty.Led”。同时,还会在该目录下释放恶意DLL组件“JoooNt8.Jzx”或“EoooNt6.Jox”,并设置文件属性为“只读、隐藏”。“QQ大盗”变种vdd是一个专门盗取即时聊天工具“腾讯QQ”账号和密码的木马程序,运行后会首先查看自身是否已经被插入到“QQ.exe”、“explorer.exe”或“verclsid.exe”等进程之中。如果插入成功,便会强行迫使“QQ”掉线,致使“QQ”重新返回到登陆窗口中。“QQ大盗”变种vdd会针对“QQ”登陆窗口安装大量的消息钩子,并通过线程注入、内存截取等技术,盗取用户输入的账号和密码等机密信息,并在后台将窃取到的信息(包括计算机名、当前ip地址、计算机用户名、QQ账号、QQ密码等)发送到骇客指定的远程服务器站点“http://www.ddan52*.cn/jacob/qq.asp”上,从而给用户造成了不同程度的虚拟财产损失。同时,“QQ大盗”变种vdd会在注册表键“ShellExecuteHooks”下添加键值,从而实现木马的开机自动运行。