病毒播报:终极骗子连接端口增加网站流量

江民今日提醒您注意:在今天的病毒中Backdoor/UltimateDefender.azy"终极骗子"变种azy和TrojanDropper.OnLineGames.f"网游窃贼"变种f值得关注。

英文名称:Backdoor/UltimateDefender.azy
中文名称:"终极骗子"变种azy
病毒长度:280576字节
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:66a0f4adc6637980e3902c1e3ccf1f82

特征描述:
Backdoor/UltimateDefender.azy"终极骗子"变种azy是"终极骗子"家族中的最新成员之一,采用"Microsoft Visual C++ 6.0"编写。"终极骗子"变种azy运行后,会自我复制到被感染系统的"%SystemRoot%"文件夹下,重新命名为"lsass.exe"和"tmp*.log"。连接骇客指定的站点,用以增加某些网站的流量以及提升一些词汇的搜索排名等。获取特定IP地址及端口,并不断与该控制端进行连接,从而达到远程控制的目的。被控制的计算机可以执行任意控制操作(其中包括:文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等)
,从而给用户的信息安全构成严重的威胁。另外,"终极骗子"变种azy会在被感染系统注册表启动项中添加键值"lsass",以此实现开机后的自动运行。

英文名称:TrojanDropper.OnLineGames.f
中文名称:"网游窃贼"变种f
病毒长度:105220字节
病毒类型:木马释放器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:a313f4089ad5a6b919d203f4339b7e88

特征描述:
TrojanDropper.OnLineGames.f"网游窃贼"变种f是"网游窃贼"家族中的最新成员之一,采用"Borland Delphi 6.0 – 7.0"编写,经过加壳保护处理。"网游窃贼"变种f运行后,会在被感染系统的"%SystemRoot%system32"文件夹下释放经过加壳保护的恶意DLL组件"ro.dll",文件属性设置为"系统、隐藏"。之后原病毒程序会将自我删除,以此消除痕迹。"网游窃贼"变种f是一个盗取"MSN"、"Yahoo!"帐号以及"仙境传说"、"冒险岛"、"预言"等网络游戏账号的木马程序,通过多种手段监视用户的输入,截取相关的信息。其会将盗取的用户名和密码等信息发送到骇客指定的页面"http://www.ccaat*.com/d/ro/recvmailx.asp"、"http://www.ccaat*.com/d/yahoo/recvmailx.asp"(地址加密存放)等上,从而给用户造成了不同程度的损失。