江民8.19病毒播报:QQ大盗和变异体变种病毒

8/19/2009来源:病毒数据库人气:2688

  江民今日提醒您注意:在今天的病毒中Trojan/PSW.QQPass.wua“QQ大盗”变种wua和TrojanDownloader.Geral.ew“变异体”变种ew值得关注。   

  英文名称:Trojan/PSW.QQPass.wua
  中文名称:“QQ大盗”变种wua
  病毒长度:105984字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:ab1e072fd15fca226d2e1ba39df38efb
  特征描述:
  Trojan/PSW.QQPass.wua“QQ大盗”变种wua是“QQ大盗”盗号木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“QQ大盗”变种wua运行后,会自我复制到被感染系统的“%SystemRoot%\Web\PRinters\images\”目录下,重新命名为“harce.exe”。同时,还会在该目录下释放经过加壳保护的恶意DLL组件“harce.dll”,文件属性设置为“系统、隐藏”。“QQ大盗”变种wua是一个盗取“雅虎奇摩”会员账号及“热血江湖 Online”网络游戏会员账号的木马程序,运行后会首先确认自身是否已经插入到桌面进程“explorer.exe”中。通过安装消息钩子等方式监视当前的系统状态,伺机进行恶意操作。定位“yahoobuddymain”窗口及插入“ybclient.exe”进程,利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号、角色名等信息,并在后台将窃得的信息发送到骇客指定的收信页面“http://www.djyoud*.com/qimo.asp”、“http://www.harky*.com/image/point.asp”等上(地址加密存放),致使用户的账号丢失。另外,“QQ大盗”变种wua会修改注册表键“ShellExecuteHooks”的键值,以此实现盗号木马的开机自启。

  英文名称:TrojanDownloader.Geral.ew
  中文名称:“变异体”变种ew
  病毒长度:36352字节
  病毒类型:木马下载器
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:dd04d564e022a6f1a7b76a34b55d1a62
  特征描述:
  TrojanDownloader.Geral.ew“变异体”变种ew是“变异体”木马下载器家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,是一个由其它恶意程序释放出来的DLL功能组件。“变异体”变种ew通常会被插入到“explorer.exe”等进程中隐秘运行,其会在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“acpiec.sys”,从而覆盖同名的系统文件。“变异体”变种ew会利用该恶意驱动恢复系统服务描述表(SSDT),以此关闭安全软件的自我保护功能,从而轻易地终止这些软件的进程,致使用户的系统失去安全软件的防护。另外,该木马还会禁用一些安全软件的服务,从而破坏这些安全软件的开机自动运行。