江民2.19病毒播报：反杀蜜毒和魔兽贼变种

核心提示：江民今日提醒您注意：在今天的病毒中TrojanDropper.Kilma“反杀蜜毒”和Trojan/PSW.WOW.jh“魔兽贼”变种jh值得关注，英文名称：TrojanDropper.Kilma中文名称：“反杀蜜毒” 病毒长度：70787字节病毒类型：木马危险级别：★影响平台：Win 9X/ME/NT/2000/XP

江民今日提醒您注意：在今天的病毒中TrojanDropper.Kilma“反杀蜜毒”和Trojan/PSW.WOW.jh“魔兽贼”变种jh值得关注。

英文名称：TrojanDropper.Kilma
　　中文名称：“反杀蜜毒”
　　病毒长度：70787字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：f5c03e9ecba7cb95f0d310cd4360d4fb
　　特征描述：
　　TrojanDropper.Kilma“反杀蜜毒”是“反杀蜜毒”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“反杀蜜毒”运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“text.log”。同时，还会在该目录下和“%SystemRoot%\system32\drivers\”目录下分别释放恶意DLL功能组件“msex*s.dll”（或“msex*ex.dll”）与恶意驱动程序和“beep.sys”，并修改文件的时间属性为系统安装日期，以此迷惑用户，达到更好的隐藏效果。该木马会在被感染计算机的后台遍历当前系统中运行的所有进程，如果发现某些指定的安全软件存在，便会尝试强行将其结束，从而达到了自我保护的目的。利用恶意驱动程序“beep.sys”关闭安全软件的自我保护功能，致使用户的计算机系统失去安全软件的保护。强行篡改注册表相关键值，导致用户计算机系统中的“.exe”扩展名无法显示。“反杀蜜毒”还会在被感染计算机系统的后台秘密窃取用户系统中的机密信息，并在后台将窃取到的信息发送到骇客指定的远程服务器站点“http://61.145.***.116:8000”（地址加密存放），给被感染计算机用户造成了不同程度的损失。另外，“反杀蜜毒”会将自身注册为系统服务，以此实现开机的自动运行。同时，还会通过修改注册表的方式实现其所释放组件的开机自启。

英文名称：Trojan/PSW.WOW.jh
　　中文名称：“魔兽贼”变种jh
　　病毒长度：23616字节
　　病毒类型：盗号木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：e95a8feaeafe90da953de49d7ca9e56e
　　特征描述：
　　Trojan/PSW.WOW.jh“魔兽贼”变种jh是“魔兽贼”盗号木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，一般会被插入到系统桌面程序“explorer.exe”等几乎所有的用户级权限的进程中加载运行，并在后台执行恶意操作，隐藏自我，防止被轻易地查杀。“魔兽贼”变种jh是一个专门盗取“魔兽世界Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序的窗口标题。一旦发现指定进程存在时，便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。同时，“魔兽贼”变种jh还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码，否则会连同玩家的密码保护资料一同被骇客所窃取，给用户造成更大程度的损失。另外，“魔兽贼”变种jh会通过在系统注册表启动项中添加键值的方式实现开机后的自动运行。