10月09日病毒木马预警

淡淡体味

10月09日病毒木马预警

来自：MACD论坛(bbs.macd.cn) 作者：淡淡体味 浏览：1833 回复：0

"网游盗号者327680"(Win32.Troj.Delf.327680)这是

一个网游盗号木马，并且会在系统留下后门，供黑客对感染机器上的信息进行盗取。该木马运行后，在系统盘释放木马文件，并添加到系统服务设置为自动启动。劫持TCP数据，盗取玩家的密码帐号等网游信息，并执行破解线程，对拦截的数据包进行破解。通过控TCP连接将盗取信息发送到远程主机。
    "盗号者185856"(Win32.PSWTroj.OnLineGames.185856)这是一个盗号木马。主要针对台湾用户，会盗窃雅虎通、MSN及众多台湾知名游戏站点和网络游戏帐号，并将获取的信息提交给指定的远程服务器上。
    一、"网游盗号者327680"(Win32.Troj.Delf.327680)   威胁级别：★
    1.木马运行后，产生以下两个名称具有伪装性质的病毒文件
%windows%\svchost.exe
%system32%\kernl32.exe
    2.拦截TCP数据，截获用户游戏信息，并在后台发送给控制端。
    3.监听网络：kernl32.exe建立到远程主机的连接，svchost.exe会创建独立线程对端口数据进行监听，
并且接受控制端的指令，根据不同的指令消息，来进行盗取用户网游信息。

    二、"盗号者185856"(Win32.PSWTroj.OnLineGames.185856)   威胁级别：★
    1.病毒运行后，会删除自身，并产生以下病毒文件
C:\WINDOWS\Debug\F01A4ACBB854.exe
C:\WINDOWS\Debug\F01A4ACBB854.dll
    2.该木马启动后会在后台监视点击运行的程序，窃取用户正在登录的“MSN”、“雅虎通”、“冒险岛(MapleStory)”、“罗汉(ROHAN)Online”、“天堂”、“R2”、“戏谷”、“黄易群侠传”等即时通讯和网络游戏账号。
    3.木马会监视用户的浏览器记录用户在登录“雅虎奇摩”、“游戏橘子(gamania)”、“巴哈姆特电玩资讯站(gamer)”、“98play”、“魔兽游戏台湾官方(wowtaiwan)”、“FZG官方站”、“游戏基地(gamebase)”等台湾知名站点时的用户名、密码、身份证号、机器名、IP地址等信息。
    4.该木马会自动关闭部分反病毒软件弹出的警告框。
据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“萤火虫变种K（Backdoor.Win32.FireFly.k）”病毒。该病毒会自动从黑客指定的站点下载其它病毒、木马等恶意程序，同时会造成多种杀毒软件无法正常使用，给用户的计算机安全带来威胁。
本日热门病毒：
“萤火虫变种K（Backdoor.Win32.FireFly.k）”病毒：警惕程度★★★，后门程序，通过恶意网页、其它病毒下载传播，依赖系统：WIN9X/NT/2000/XP。
该病毒采用C/C++语言编写，运行之后，会将自身复制到C:\program files\office目录下，文件名为office.exe，伪装成微软办公软件防止用户删除。它还会在office目录下创建配置文件，并自动根据配置文件中的地址下载其它的病毒、木马、后门等恶意程序，这些恶意程序可能会窃取用户的帐号、密码等隐私信息并发送给黑客。同时，该病毒还会释放驱动程序破坏杀毒软件，使其实时监控程序无法正常打开，给用户的计算机安全带来威胁。
江民10月9日病毒播报：小心专门窃取彩虹岛和魔兽世界的木马
江民今日提醒您注意：在今天的病毒中Trojan/PSW.OnLineGames.giy“网游窃贼”变种giy和TrojanDownloader.Agent.qmz“代理木马”变种qmz值得关注。
病毒名称：Trojan/PSW.OnLineGames.giy
中 文 名：“网游窃贼”变种giy
病毒长度：24064字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.OnLineGames.giy“网游窃贼”变种giy是“网游窃贼”木马家族的最新成员之一，采用VC++6.0编写。“网游窃贼”变种giy运行后，在后台秘密监视用户打开的窗口标题，盗取网络游戏《彩虹岛online》和《魔兽世界》玩家的游戏账号、游戏密码、装备信息、游戏区服、角色等级、仓库密码、金钱数量等信息，并在后台将窃取到的玩家信息发送到骇客指定的远程服务器上，致使玩家游戏帐号、装备物品、金钱等丢失，给游戏玩家造成非常大的损失。
病毒名称：TrojanDownloader.Agent.qmz
中 文 名：“代理木马”变种qmz
病毒长度：25862字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.qmz“代理木马”变种qmz是“代理木马”木马下载器家族的最新成员之一，采用Delphi 6.0-7.0编写。“代理木马”变种qmz运行后，自我复制到被感染计算机的指定目录下。自我注册为系统服务，实现木马开机自动运行。采用磁盘映像劫持技术，在被感染计算机的所有盘符下创建磁盘映像劫持文件“autorun.inf”和病毒程序文件“sbl.exe”，利用U盘、移动硬盘进行传播。在被感染计算机的后台搜索当前正在运行的程序窗口名，一旦发现被感染计算机上运行某些常见杀毒软件便强行关闭其应用程序，降低被感染计算机上的安全级别。在后台连接骇客指定的远程服务器，下载恶意程序并自动调用运行。