病毒播报:“网游窃贼”和“捆绑客”病毒

江民今日提醒您注意:在今天的病毒中Trojan/PSW.OnLineGames.bjkw"网游窃贼"变种bjkw和Trojan/Koblu.se"捆绑客"变种se值得关注。

英文名称:Trojan/PSW.OnLineGames.bjkw
中文名称:"网游窃贼"变种bjkw
病毒长度:25600字节
病毒类型:盗号木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:15ada7da71e53047517cdfb847052567

特征描述:
Trojan/PSW.OnLineGames.bjkw"网游窃贼"变种bjkw是"网游窃贼"家族中的最新成员之一,采用"Microsoft Visual C++ 6.0"编写,经过加壳保护处理。"网游窃贼"变种bjkw运行后,会在被感染系统的"%SystemRoot%system32"文件夹下释放经过加壳保护的恶意DLL组件"ZxddAE.dll"和"MzxEdAE.dll",并创建配置文件"DXXsbA.dat"。安装完毕后,"网游窃贼"变种bjkw会将自我删除,以此消除痕迹。"网游窃贼"变种bjkw是一个专门盗取"问道"网络游戏会员账号的木马程序,运行后会在后台秘密监视系统中正在运行的所有进程。一旦发现网络游戏进程"asktao.mod",则会利用安装消息钩子、内存截取、伪装游戏登陆窗口等方式盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点"http://ll**88.3322.org/fen15/post.asp?suser=%s&spass=%s&serial=%s&sernum=%s&level=%d&sname=%s&money1=%d&money2=%d&igold=%d&line=%s&lines=%s&boxpass=%s&signpass=%s&ver=%s&flag=%s&mac=%s、http://123*fw.h001.028*is.cn/321qwe/zzzz/post.asp?suser=%s&spass=%s&serial=%s&sernum=%s&level=%d&sname=%s&money1=%d&money2=%d&igold=%d&line=%s&lines=%s&boxpass=%s&signpass=%s&ver=%s&flag=%s&mac=%s"上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。"网游窃贼"变种bjkw会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称:Trojan/Koblu.se
中文名称:"捆绑客"变种se
病毒长度:39424字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:932911ee01d17de94fa727caf94f7961

特征描述:
Trojan/Koblu.se"捆绑客"变种se是"捆绑客"家族中的最新成员之一,采用"Borland Delphi 6.0 – 7.0"编写,经过加壳保护处理。"捆绑客"变种se运行后,会与指定的IRC服务器"b*kq.com"、"js*ctiity.com"、"173.45.*.218"、"204.27.*.154"或"66.96.*.101"建立连接(端口8392),从而与服务器进行命令交互,以此达到远程控制的目的。根据服务器发送的指令,"捆绑客"变种se可执行下载恶意程序、修改注册表启动项和IE主页等操作,从而给用户造成更大的威胁。