12月18日病毒播报:“毒波”和“网游窃贼”

江民今日提醒您注意:在今天的病毒中Backdoor/NetBot.mq"毒波"变种mq和Trojan/PSW.OnLineGames.bhok"网游窃贼"变种bhok值得关注。

英文名称:Backdoor/NetBot.mq
中文名称:"毒波"变种mq
病毒长度:72448字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:4fd14ddc30a1821f3185336b4f7936a1

特征描述:
Backdoor/NetBot.mq"毒波"变种mq是"毒波"家族中的最新成员之一,采用"Microsoft Visual C++ 6.0"编写。"毒波"变种mq运行后,会自我复制到被感染系统的"%SystemRoot%system32"文件夹下,重新命名为"regedit32.exe"(区别于正常系统文件"regedt32.exe"),文件属性设置为"系统、隐藏",同时还可能释放仿冒系统文件的驱动文件"beep.sys"。"毒波"变种mq会自我复制到可移动存储设备的根目录下,重新命名为"setup.exe"。同时生成"autorun.inf"文件,文件属性均设置为"只读、系统、隐藏",从而达到了利用可移动存储设备进行传播的目的。"毒波"变种mq运行后,会将恶意代码注入到新创建的进程"svchost.exe"的内存空间中隐秘运行。不断尝试与控制端(地址为:benbenwan.22*8.org:8000)进行连接,连接成功后骇客可以向被感染的计算机发送恶意指令,从而执行文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制等恶意行为,从而给用户的信息安全构成严重的威胁。另外,"毒波"变种mq会在被感染计算机中注册名为"BackGround switch"的系统服务,以此实现开机自启。

英文名称:Trojan/PSW.OnLineGames.bhok
中文名称:"网游窃贼"变种bhok
病毒长度:73371字节
病毒类型:盗号木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:7c5f73ce1467f667456089dcaa175c2d

特征描述:
Trojan/PSW.OnLineGames.bhok"网游窃贼"变种bhok是"网游窃贼"家族中的最新成员之一,采用"Borland Delphi 6.0 – 7.0"编写,经过加壳保护处理。"网游窃贼"变种bhok运行后,会自我复制到被感染系统的"%ProgramFiles%Internet Explorer"文件夹下,重新命名为"SDK.bak"。释放恶意DLL文件"SDK.dll",同时备份为"SDK.tmp"。"网游窃贼"变种bhok是一个专门盗取"腾讯QQ"账号和密码的木马程序,运行后会首先查看自身是否已经插入到"QQ.exe"、"explorer.exe"或"verclsid.exe"等进程之中。强行迫使用户掉线,并重新返回到"QQ"的登陆窗口中。通过一系列的消息钩子、内存截取等操作,盗取用户输入的账号和密码等机密信息,并在后台将窃得的信息(包括计算机名、当前IP地址、计算机用户名、QQ账号、QQ密码等)发送到骇客指定的页面"http://www.hahah*la.cn/dami/qq.asp"(地址加密存放)上,从而给用户造成了不同程度的损失。另外,"网游窃贼"变种bhok会修改注册表键"ShellExecuteHooks"的键值,以此实现开机自动运行。