江民7.14病毒播报:诈骗箱和QQ大盗变种病毒

7/14/2009来源:病毒数据库人气:3214

  江民今日提醒您注意:在今天的病毒中Trojan/FraudPack.bkm“诈骗箱”变种bkm和Trojan/PSW.QQPass.wmd“QQ大盗”变种wmd值得关注。

  英文名称:Trojan/FraudPack.bkm
  中文名称:“诈骗箱”变种bkm
  病毒长度:19028字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:9ce8e02210f13d201f6dd487a26b90cb
  特征描述:
  Trojan/FraudPack.bkm“诈骗箱”变种bkm是“诈骗箱”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,是一个由其它恶意程序释放出来的DLL功能组件。“诈骗箱”变种bkm运行后,会到“%SystemRoot%\fonts\”目录下读取保存着加密收信地址的配置文件“PRZWDcWgjaE3SQyr.Ttf”。遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在,便会尝试将其结束,从而达到了自我保护的目的。“诈骗箱”变种bkm是一个专门盗取“剑侠世界Online”网络游戏会员账号的木马程序,运行后会首先确认自身是否已经被插入到桌面进程“explorer.exe”中。一旦插入成功,则会通过安装消息钩子等方式,监视当前的系统状态,并伺机进行恶意操作。插入游戏进程“game.exe”中,利用消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息,并在后台将窃得的机密信息发送到骇客指定的URL“http://g1.1o1o1o.cn:16881/w5fh26gd/post.asp”上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“诈骗箱”变种bkm会修改注册表键“ShellExecuteHooks”的键值,以此实现开机后的自动运行。

  英文名称:Trojan/PSW.QQPass.wmd
  中文名称:“QQ大盗”变种wmd
  病毒长度:44912字节
  病毒类型:盗号木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:e298ce815ab777064d7598e4d31660e7
  特征描述:
  Trojan/PSW.QQPass.wmd“QQ大盗”变种wmd是“QQ大盗”盗号木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“QQ大盗”变种wmd是一个通过弹出仿冒“QQ”中奖消息窗口来诱骗用户上当,从而实施网络诈骗的木马程序。“QQ大盗”变种wmd运行后,会将恶意代码注入到“explorer.exe”进程中隐密运行。遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在时,便会尝试将其结束,从而使得系统失去安全软件的防护,增加了遭受病毒侵害的风险。“QQ大盗”变种wmd运行时,会在系统托盘区域模仿“QQ”广播的“喇叭”图标闪烁,用户点击后将弹出虚假的中奖提示窗口,从而进一步地将用户引导至指定页面“http://qppp*.com.cn/qr.htm”并实施诈骗。同时,该网站可能还存在网页挂马等恶意行为,从而使得被感染计算机用户面临更多的威胁。另外,“QQ大盗”变种wmd会通过在系统注册表启动项中添加键值“QQ”的方式实现开机自启。