江民12.29病毒播报：MSN性感鸡与代理木马

江民今日提醒您注意：在今天的病毒中I-Worm/MSN.DropBot.c“MSN性感鸡”变种c和Trojan/PSW.Agent.aof“代理木马”变种aof值得关注。

英文名称：I-Worm/MSN.DropBot.c
　　中文名称：“MSN性感鸡”变种c
　　病毒长度：33792字节
　　病毒类型：网络蠕虫
　　危险级别：★★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

I-Worm/MSN.DropBot.c“MSN性感鸡”变种c是“MSN性感鸡”网络蠕虫家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写。“MSN性感鸡”变种c运行后，会自我复制到被感染计算机系统的“%SystemRoot%\”目录下，重新命名为“wkssvr.exe”，并将文件属性设置为“系统、只读、隐藏”。在被感染计算机系统后台连接骇客指定的IRC服务器，侦听骇客指令，执行DDos攻击、下载恶意程序、向MSN联系人群发“MSN性感鸡”变种c的Zip压缩包等恶意操作。其中，所下载的恶意程序可能为网络游戏盗号木马、后门程序、远程监控木马等，会给被感染计算机用户造成更多不同程度的威胁和损失。“MSN性感鸡”变种c还可利用移动存储设备进行传播。在被感染计算机系统的后台监视移动存储设备是否接入，一旦发现便会向其根目录下创建自动运行配置文件“autorun.inf”和具有“系统、只读、隐藏”属性的文件夹“RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213”（图标伪装成“回收站”的图标），将自我复制到其中并重新命名为“autorunme.exe”，以此实现了利用系统自动播放特性进行激活、传播，同时达到了自我隐藏的目的，给计算机用户的信息安全造成了更加严重的侵害。另外，“MSN性感鸡”变种c会通过系统注册表启动项来实现开机自启动。

英文名称：Trojan/PSW.Agent.aof
　　中文名称：“代理木马”变种aof
　　病毒长度：23452字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.Agent.aof“代理木马”变种aof是“代理木马”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“代理木马”变种aof运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“pcpo32.exe”，并将文件的创建时间修改为系统安装日期，以此迷惑了用户。同时，还会在该目录下释放一个DLL病毒组件“pcpo32.dll”，并将其插入到“explorer.exe”及其所有用户级权限的进程中加载运行，从而隐藏了自我，防止被用户和杀毒软件轻易地发现与查杀。该DLL病毒组件是一个专门盗取“传奇”网络游戏玩家账号的木马，会通过内存截取、伪造窗口等技术和欺骗手段，窃取玩家的游戏账号、所在区服，甚至是密码保护资料等信息，并在后台将窃取到的这些信息发送到骇客指定的远程服务器站点中，给游戏玩家造成了不同程度的损失。同时，“代理木马”变种aof还会尝试结束某些安全软件的进程，以此实现了自我保护。还会从骇客指定的站点下载其它恶意程序，致使被感染计算机的用户面临着更多不同程度的威胁。“代理木马”变种aof在执行完毕后，会将自我删除，从而达到了消除痕迹的目的。另外，其会通过在注册表启动项中添加键值的方式来实现开机自启。