江民10.22病毒播报:网游大盗和代理木马

10/22/2009来源:病毒数据库人气:3039

  江民今日提醒您注意:在今天的病毒中Trojan/PSW.GamePass.aikt“网游大盗”变种aikt和TrojanDownloader.JS.Agent.yuj“代理木马”变种yuj值得关注。

  英文名称:Trojan/PSW.GamePass.aikt
  中文名称:“网游大盗”变种aikt
  病毒长度:99840字节
  病毒类型:盗号木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:50164e195708e6945f0cdd9322388f03
  特征描述:
  Trojan/PSW.GamePass.aikt“网游大盗”变种aikt是“网游大盗”盗号木马家族中的最新成员之一,采用“Visual C++ 2005 Release”编写。“网游大盗”变种aikt会自我复制到“%SystemRoot%\system32\”文件夹下,重新命名为“mnmsrvc.exe”。同时会将系统同名文件重新命名为“mnmsrvc.exe.bak”,并删除“%SystemRoot%\system32\dllcache\”、“dllcache_bk\”和“%SystemRoot%\ServicePackFiles\i386\”目录下的同名文件,另外会向标题为“Windows File PRotection”的窗口发送关闭窗口的信息,以此防止系统自行恢复被替换的文件。“网游大盗”变种aikt会启动“mnmsrvc.exe”对应的系统服务“mnmsrvc”(NetMeeting远程桌面共享服务),以此实现开机自动运行。另外,“网游大盗”变种aikt可能会根据当前系统的具体情况,替换其它系统服务,例如“ImapiService”(CD刻录服务)或“DFSR”(分布式文件系统复制服务)对应的系统文件“imapi.exe”和“DFSR.exe”。“网游大盗”变种aikt会结束常见的几个网页浏览器软件进程,同时连接指定的网址进行下载恶意程序等恶意行为。另外,“网游大盗”变种aikt还会通过访问指定站点、连接搜索引擎进行特定关键字搜索等操作为骇客带来非法的经济利益。

  英文名称:TrojanDownloader.JS.Agent.yuj
  中文名称:“代理木马”变种yuj
  病毒长度:1004623字节
  病毒类型:木马下载器
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:5bd786562543f299eacc37dbde24434e
  特征描述:
  TrojanDownloader.JS.Agent.yuj“代理木马”变种yuj是“代理木马”木马下载器家族中的最新成员之一,采用易语言编写。“代理木马”变种yuj是一个捆绑了正常软件“CCTV网页播放器插件安装程序”的恶意程序,运行后会在被感染系统的“%SystemRoot%\”文件夹下释放该软件“ddl1.exe”并执行安装。而“代理木马”变种yuj则会在后台篡改注册表,修改用户的IE浏览器首页为“http://www.18*hi.com”,从而为不法分子谋取不正当的经济利益。