江民12.24病毒播报：Hosts劫持者和魔域大盗

核心提示：江民今日提醒您注意：在今天的病毒中Trojan/Qhost.p“Hosts劫持者”变种p和Trojan/PSW.Moyu.h“魔域大盗”变种h值得关注，英文名称：Trojan/Qhost.p中文名称：“Hosts劫持者”变种p病毒长度：156908字节病毒类型：木马危险级别：★★影响平台：Win 9X/ME/NT/20

江民今日提醒您注意：在今天的病毒中Trojan/Qhost.p“Hosts劫持者”变种p和Trojan/PSW.Moyu.h“魔域大盗”变种h值得关注。

英文名称：Trojan/Qhost.p
　　中文名称：“Hosts劫持者”变种p
　　病毒长度：156908字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Qhost.p“Hosts劫持者”变种p是“Hosts劫持者”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“Hosts劫持者”变种p运行后，会在被感染计算机系统的“%SystemRoot%\system32\drivers\etc”目录下释放一个恶意DLL文件（KV2009检测结果为：Trojan/CDur.e），文件名随机生成。同时，修改该文件的创建时间为系统安装日期，蒙蔽了用户，提高了木马自身的生存几率。在“%SystemRoot%\system32\”下生成一个文件（文件名称随机），并通过此文件来避免系统被木马重复感染。创建一个临时文件，用以进行自我删除，从而达到了消除痕迹、藏匿自身的目的。尝试结束某些安全软件的进程，还会模仿某安全软件弹出包含虚假信息的提示窗口，降低了被感染计算机用户对病毒防护的警惕性，使得木马更加恣意的在系统中进行恶意破坏。“Hosts劫持者”变种p会修改系统注册表，将释放的病毒文件添加到系统服务项目中，从而达到了开机后隐密启动的目的。该木马所释放的文件是一个功能强大的木马服务端。启动后，会尝试与骇客指定的地址进行连接，如果连接成功，则被感染的计算机便彻底地沦为受骇客控制的傀儡主机。骇客可以向被感染主机发送任意的指令和进行任意的操作，其中包括文件管理、进程控制、注册表操作、命令执行、屏幕监控、键盘监听、鼠标控制、音视频设备控制（例如摄像头）等，给被感染计算机用户的信息安全和个人隐私造成了严重的侵害，甚至还有可能对商业机密造成严重的威胁。另外，骇客还可以通过该木马服务端向傀儡主机传送大量的恶意软件等，给用户造成了更大程度的威胁。

英文名称：Trojan/PSW.Moyu.h
　　中文名称：“魔域大盗”变种h
　　病毒长度：20992字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.Moyu.h“魔域大盗”变种h是“魔域大盗”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，一般会被注入到“explorer.exe”中加载运行。“魔域大盗”变种h运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下分别释放出恶意DLL组件和病毒配置文件。在被感染计算机的后台遍历当前系统中运行的所有进程，查找是否存在“魔域Online”网络游戏的进程和模块，如果发现这些指定程序正在运行时，便会通过键盘监听、内存截取等方式盗取“魔域Online”网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使“魔域Online”网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。同时，“魔域大盗”变种h还会强行篡改系统hosts文件，将大量网络游戏的官方站点进行屏蔽，以阻止网游玩家对这些网站的正常访问。