江民8.28毒报:QQ大盗和Trojan/PSW.Delf

8/28/2009来源:病毒数据库人气:2369

  江民今日提醒您注意:在今天的病毒中Trojan/PSW.QQPass.wxk“QQ大盗”变种wxk和Trojan/PSW.Delf.drx“Trojan/PSW.Delf”变种drx值得关注。

  英文名称:Trojan/PSW.QQPass.wxk
  中文名称:“QQ大盗”变种wxk
  病毒长度:201216字节
  病毒类型:盗号木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:da8d13361c39f09794949ccabddba1f7
  特征描述:
  Trojan/PSW.QQPass.wxk“QQ大盗”变种wxk是“QQ大盗”盗号木马家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“QQ大盗”变种wxk运行后,会在被感染计算机中释放经过加壳保护的恶意程序“netsiet.exe”、“snss.exe”、“game032.exe”和“51dd_free_setup”,文件属性均设置为“系统、隐藏”。“QQ大盗”变种wxk运行时,会通过修改注册表的方式隐藏桌面IE图标、设置IE浏览器主页为“http://iex*.com”,同时还会在桌面、收藏夹和快速启动栏创建指向该站点的IE快捷方式。下载加密的配置文件“http://www.chn*.cn/CPAAD.MDB”,根据该文件中的设置下载“酷我音乐盒”、“PPS 奥运视频直播版”、“糖果浏览器”、“播霸播放器”、“中易浏览器1166特制版”、“UUSee网络电视2008”等软件。下载完成后,会将这些软件强制安装在用户的系统中,并删除这些软件的桌面图标和“开始”菜单中的项目,隐藏相关的窗口以及托盘图标,同时还会将这些软件设置为开机自动运行。骇客通过这种方式的恶意推广从中牟取到了不法的经济利益,同时严重地侵害了用户的合法权益。“QQ大盗”变种wxk还会向指定的页面“http://union.go30*.com/cn/install.asp”等反馈被感染计算机的基本信息及感染情况,并且可能通过自我升级的方式躲避杀软的查杀。另外,“QQ大盗”变种wxk会通过在被感染系统注册表启动项中添加键值“molppo”的方式实现木马的开机自动运行。

  英文名称:Trojan/PSW.Delf.drx
  中文名称:“Trojan/PSW.Delf”变种drx
  病毒长度:42002字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:fd3fd432447b52d6122dc38ad97de4f0
  特征描述:
  Trojan/PSW.Delf.drx“Trojan/PSW.Delf”变种drx是“Trojan/PSW.Delf”盗号木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,是一个由其它恶意程序释放出来的DLL功能组件。“Trojan/PSW.Delf”变种drx是一个专门盗取“问道 Online”网络游戏会员账号的木马程序,运行后会首先确认自身是否已经被插入到桌面进程“explorer.exe”中。通过安装钩子的方式监视当前的系统状态,伺机进行恶意操作。插入游戏进程“asktao.mod”中,利用消息钩子、鼠标钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息,并在后台将窃得的机密信息发送到骇客指定的收信页面“http://www.7c8*.com/Card/Mail.asp”(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。