江民12.23病毒播报：视频宝宝和毒素变种

核心提示：江民今日提醒您注意：在今天的病毒中TrojanDropper.VB.zm“视频宝宝”变种zm和Trojan/PSW.Element.aq“毒素”变种aq值得关注，英文名称：TrojanDropper.VB.zm中文名称：“视频宝宝”变种zm病毒长度：93184字节病毒类型：木马释放器危险级别：★★影响平台：Win 9X

江民今日提醒您注意：在今天的病毒中TrojanDropper.VB.zm“视频宝宝”变种zm和Trojan/PSW.Element.aq“毒素”变种aq值得关注。

英文名称：TrojanDropper.VB.zm
　　中文名称：“视频宝宝”变种zm
　　病毒长度：93184字节
　　病毒类型：木马释放器
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

TrojanDropper.VB.zm“视频宝宝”变种zm是“视频宝宝”木马家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，并且经过加壳保护处理。“视频宝宝”变种zm运行后，会自我复制到被感染计算机系统的“%SystemRoot%\”目录下，并重新命名为“kq234sto.exe”。在该目录下释放病毒组件“shdwe334.exe”（KV2009检测为“Backdoor/VB.dwd”），同时还会在相同目录中生成一个名为“driver.inf”的安装信息文件以进行系统服务的安装，并通过生成一个配置文件来进行相应的恶意操作。在被感染计算机系统的后台连接骇客指定的URL“http://cha*dd.3322.org:88/ip.txt”，获取恶意程序下载列表，下载其中的恶意程序并自动调用运行，使得被感染计算机用户面临潜在的威胁。同时，该木马还会在后台秘密窃取被感染计算机用户的私密信息，并发送到骇客指定的远程站点中，致使用户的个人隐私遭受不同程度的侵害。“视频宝宝”变种zm还会通过批处理文件来实现自我的删除，并关闭和禁用“Windows防火墙和因特网连接共享”、“自动更新”、“系统还原”等系统服务，以此达到清除自身痕迹、破坏计算机系统稳定运行的目的，降低了被感染计算机系统的安全性。另外，“视频宝宝”变种zm会通过在被感染计算机注册表启动项中添加键值来实现木马的开机自动运行。

英文名称：Trojan/PSW.Element.aq
　　中文名称：“毒素”变种aq
　　病毒长度：19968字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.Element.aq“毒素”变种aq是“毒素”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，通常会被注入到“explorer.exe”等用户级权限的进程中加载运行，以此实现隐藏自我，防止被查杀。“毒素”变种aq运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“sh03004.dll”和配置文件“sh03004.add”，通过注册表启动项来实现木马开机的自启动。在被感染计算机的后台遍历当前系统中的所有进程，查找“完美国际”、“武林外传”、“诛仙”等网络游戏是否正在运行。如果发现这些游戏的进程，便会通过内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点中，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。另外，“毒素”变种aq还会强行篡改系统hosts文件，屏蔽大量的游戏官方站点，阻止了用户对于这些网站的访问。