病毒播报:谨防"网游窃贼"和"BHO劫持者"病毒

江民今日提醒您注意:在今天的病毒中Trojan/PSW.OnLineGames.axxy"网游窃贼"变种axxy和Trojan/BHO.itl"BHO劫持者"变种itl值得关注。

英文名称:Trojan/PSW.OnLineGames.axxy
中文名称:"网游窃贼"变种axxy
病毒长度:23948字节
病毒类型:盗号木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:f5764f37686733b7a45204dad906d762

特征描述:
Trojan/PSW.OnLineGames.axxy"网游窃贼"变种axxy是"网游窃贼"家族中的最新成员之一,采用"Microsoft Visual C++ 6.0"编写,经过加壳保护处理。"网游窃贼"变种axxy运行后,会在被感染系统的"%USERPROFILE%Local SettingsTemp"和"%SystemRoot%system32"文件夹下分别释放恶意DLL组件"~~*.~~~"(*号表示随机名称)、"t329111.dll",还会在该文件夹下创建配置文件"t329111.ini"。"网游窃贼"变种axxy是一个专门盗取"魔兽世界"网络游戏账号的木马程序,其会在后台秘密监视系统中正在运行的所有进程。如果发现游戏进程"wow.exe"存在,则会利用安装消息钩子、内存截取、伪装游戏登陆窗口等方式窃取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的URL"http://zhu.11mi**2.cn/post.asp?game=29¶=%s&%ves=111&d10=%s&d11=%s&d00=%s&d01=%s&d20=%s:%s%%20%s:%s%%20%s:%s&d70=%d&d90=%d、http://zhu.11mi**2.cn/mibao.asp?game=29¶=%s&%ves=111&d00=%s&d01=%s&d10=%s&d11=%s&d21=%s&d30=%s&d31=%s&d32=%s&d40=%u&d45=%u&d42=%u&d60=%s&d61=%s&d70=%d&d71=%d&d50=%s&d90=%d&d62=%s"上(地址加密存放),致使游戏玩家的账号、装备、物品、金钱等丢失,给玩家造成了不同程度的损失。"网游窃贼"变种axxy具有自动更新的功能,其会在被感染系统的后台连接骇客指定的URL"http://zhu.11mi**2.cn/ufile.asp%s?act=&d10=%s&d80=%d"下载并安装更新。另外,其会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。"网游窃贼"变种axxy在安装完毕后会将自身删除,以此消除痕迹。

英文名称:Trojan/BHO.itl
中文名称:"BHO劫持者"变种itl
病毒长度:249856字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:fc4303b070651407d7b0e74c013ea830

特征描述:
Trojan/BHO.itl"BHO劫持者"变种itl是"BHO劫持者"家族中的最新成员之一,采用高级语言编写,是一个由其它恶意程序释放出来的DLL功能组件。"BHO劫持者"变种itl会在被感染系统的后台获取用户计算机的配置信息,并且会通过查询注册表指定键值(例如SoftwareFlashFXP、SoftwareLeapWare、SoftwareFileZilla、SoftwareGlobalSCAPE等)的方式判断系统中是否已安装了FTP管理软件。"BHO劫持者"变种itl会在被感染系统的后台注册广告窗口类"Shell DocObject View",在满足指定的条件时会弹出广告窗口,从而干扰了用户。"BHO劫持者"变种itl会被注册为BHO(浏览器辅助对象),以此实现随浏览器的启动而加载运行的目的。"BHO劫持者"变种itl的文件描述信息会被设置成"迅雷浏览器高级特性支持模块",同时带有无效的数字签名,以此增加了自身的迷惑性。