江民7.7病毒播报:定时波和魔兽贼变种病毒

7/7/2009来源:病毒数据库人气:2782

  江民今日提醒您注意:在今天的病毒中Backdoor/DsBot.gf“定时波”变种gf和Trojan/PSW.WOW.ahd“魔兽贼”变种ahd值得关注。

  英文名称:Backdoor/DsBot.gf
  中文名称:“定时波”变种gf
  病毒长度:34816字节
  病毒类型:后门
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:93f945c4d695e7e8190cd970c2eedc72
  特征描述:
  Backdoor/DsBot.gf“定时波”变种gf是“定时波”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“定时波”变种gf运行后,会删除被感染系统“%SystemRoot%\system32\”目录下的系统文件“VerCLSID.exe”,同时释放恶意DLL组件QQmmck.vxd”至其中。“定时波”变种gf是一个专门盗取即时聊天工具“腾讯QQ”账号和密码的木马程序,运行后会首先查看自身是否已经被插入到“QQ.exe”或“explorer.exe”等进程之中。查找系统中存在的“QQ用户登录”窗口,或者通过让“QQ”掉线的方式,迫使用户返回到“QQ用户登录”窗口。
  “定时波”变种gf会针对“QQ”登陆窗口安装大量的消息钩子,同时会在登录窗口的密码输入框之上放置一个仿冒的密码输入框,使得用户在该仿冒的密码框中输入密码时不受“QQ”相关反窃密功能的保护,从而轻易地获取用户输入的登录信息。窃得信息后,其会在后台将窃得的信息(包括计算机名、当前ip地址、QQ账号、QQ密码等)发送到骇客指定的远程URL“http://www.sd*ff.com/qq.asp”上(地址加密存放),或者发送到指定的邮箱“sd*ff@126.com”中,给用户造成了不同程度的损失。
  “定时波”变种gf还会下载大量恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“定时波”变种gf会通过修改注册表键“ShellExecuteHooks”的键值,以此实现木马的开机自动运行。

  英文名称:Trojan/PSW.WOW.ahd
  中文名称:“魔兽贼”变种ahd
  病毒长度:33280字节
  病毒类型:盗号木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:694245e1c6f5a3561d50452f1d710f71
  特征描述:
  Trojan/PSW.WOW.ahd“魔兽贼”变种ahd是“魔兽贼”盗号木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“魔兽贼”变种ahd运行后,会自我复制到被感染系统的“%ALLUSERSPROFILE%\「开始」菜单\程序\”目录下,重新命名为“Chkdisk.exe”。同时,还会在“%SystemRoot%\system32\”目录下释放恶意DLL组件“*.dll”(随机文件名)。“魔兽贼”变种ahd运行时,会将该DLL文件插入到“explorer.exe”进程中,同时安装消息钩子,以监视用户的操作情况。在后台执行恶意操作,从而更好地隐藏了自我。当用户通过IE访问“MSN”、“魔兽世界”、“Google”、“雅虎”等指定网站时,该木马便会通过系统钩子等方式截取用户输入的账户信息,并在后台将窃得的机密信息发送到骇客指定的远程站点“http://www.china*wll.com”上(地址加密存放),致使用户的私密信息泄露,从而造成不同程度的损失。另外,“魔兽贼”变种ahd会通过在被感染系统注册表启动项中添加键值“checkdisk”的方式实现开机自启动。