江民6.23病毒播报:冒牌贼和碍路砖变种

6/23/2009来源:病毒数据库人气:2738

  江民今日提醒您注意:在今天的病毒中Trojan/Montp.e“冒牌贼”变种e和Trojan/Alupko.c“碍路砖”变种c值得关注。

  英文名称:Trojan/Montp.e
  中文名称:“冒牌贼”变种e
  病毒长度:945464字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:a93362a168fc0f2c77aabdb60b0268c0
  特征描述:
  Trojan/Montp.e“冒牌贼”变种e是“冒牌贼”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“冒牌贼”变种e运行后,会在被感染计算机系统的“C:\PRogram Files\WAIGUA\”目录下释放程序“地下城与勇士.EXE”和“dxwg.exe”。其中“地下城与勇士.EXE”是一个没有实际功能的假外挂,而“dxwg.exe”是一个专门窃取“地下城与勇士”网络游戏账号与密码的木马程序。该木马会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放恶意DLL组件“SysDir.dat”,文件属性设置为“系统、隐藏”。在“地下城与勇士”游戏目录下释放冒充系统正常组件“LPK.DLL”的恶意文件,同时复制系统组件“LPK.DLL”到该目录下并且重新命名为“DnfText.dll”。“冒牌贼”变种e在安装完毕后便会将自身移动到“%USERPROFILE%\Local Settings\Temp\”目录下,重新命名为“DNFupdate.exe”,从而避免被用户轻易地发现。网络游戏“地下城与勇士”启动后,会自动加载木马组件。木马组件运行后会首先确认自身是否已经被插入到系统桌面进程“explorer.exe”和游戏进程“DNF.exe”中。如果已经插入成功,便会通过安装钩子、内存截取的方式来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的远程服务器站点“http://www.dnf1*9.com/OK/”(地址加密存放)上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。

  英文名称:Trojan/Alupko.c
  中文名称:“碍路砖”变种c
  病毒长度:18432字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:f3fb95dce4047c189be0f6b8b180f4d2
  特征描述:
  Trojan/Alupko.c“碍路砖”变种c是“碍路砖”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“碍路砖”变种c运行后,会自我复制到被感染系统的“%USERPROFILE%”、“%SystemRoot%\system32\drivers\”、“%USERPROFILE%\「开始」菜单\程序\启动\”目录下,并分别重新命名为“svchost.exe”、“services.exe”、“userinit.exe”。“碍路砖”变种c运行时,会强行删除注册表中所有的启动项和浏览器辅助对象。在被感染系统的后台连接骇客指定的远程服务器站点“http://be*best.cn/”,下载恶意程序“load.exe”等并自动调用运行,致使用户面临更多的威胁。其还会连接“http://stopg*m.cn/”并与该站点交换一些数据,由此可能会泄露用户的一些敏感信息。另外,“碍路砖”变种c会通过在系统注册表启动项中添加键值“[system]”、“winlogon”、“UserInit”等方式来实现木马的开机自动运行。